Claude Opus 4.8 menemukan bug senilai 4,5 miliar dolar AS, era AI sedang memproduksi hacker secara massal

Teks｜Sleepy

Ada yang menggunakan Claude Opus 4.8 menemukan sebuah Bug, yang membuat kapitalisasi pasar sebuah mata uang kripto menghilang sebesar 4,5 miliar dolar.

Awal kejadian ini bermula dari sebuah audit keamanan. Zcash adalah jaringan privasi lama, menggunakan bukti nol pengetahuan untuk melindungi informasi transaksi, Orchard adalah pusat utama kemampuan transaksi privasinya.

Pada 29 Mei, peneliti keamanan Taylor Hornby dalam audit protokol yang ditugaskan oleh Shielded Labs, menemukan sebuah celah serius di Orchard, yang memungkinkan penyerang menciptakan token yang seharusnya tidak ada, yaitu "penambahan tak terbatas".

Zcash kemudian melakukan upgrade darurat dalam beberapa hari, dan mengonfirmasi bahwa celah tersebut memang ada, tetapi tidak bisa memastikan apakah sudah ada yang memanfaatkannya untuk menambah token. Setelah pernyataan resmi dirilis pada 5 Juni, harga Zcash jatuh 50%.

Opus 4.8 dari Anthropic dirilis pada 28 Mei, dan keesokan harinya, celah ini sudah ditemukan.

Bukan Mythos, melainkan Opus

Peristiwa di Zcash ini sangat mengagetkan, bukan karena AI yang kuat, tetapi karena kali ini AI-nya terlalu biasa.

Sebelumnya, yang benar-benar ditakuti di industri keamanan adalah Claude Mythos Preview dari Anthropic. Pada April 2026, Anthropic merilis sebuah penilaian kemampuan keamanan siber, menyatakan Mythos Preview mampu mengenali dan memanfaatkan celah zero-day di sistem operasi dan browser utama selama pengujian, beberapa celah sangat tersembunyi, sudah ada selama lebih dari 10 tahun, salah satu bug di OpenBSD bahkan bisa ditelusuri kembali ke 27 tahun lalu.

Penilaian tersebut juga menyebutkan, seorang insinyur tanpa latar belakang keamanan pun bisa membiarkan Mythos Preview mencari celah eksekusi kode jarak jauh semalaman, dan keesokan harinya sudah bisa melihat sebuah kode serangan lengkap dan siap pakai.

Ini berarti kemampuan yang dulu hanya dimiliki oleh segelintir orang yang mampu menguasainya dalam jangka panjang, kini bisa diakses oleh siapa saja kapan saja. Kemampuan ini sendiri tidak memiliki posisi, perbedaannya tergantung siapa yang menggunakannya dan untuk apa.

Anthropic sendiri juga menyadari hal ini. Oleh karena itu mereka membuat Project Glasswing, awalnya hanya memberikan Mythos Preview kepada beberapa organisasi untuk keperluan pertahanan keamanan. Mereka juga mengakui, model selevel ini membutuhkan perlindungan yang lebih kuat dan batasan penggunaan yang lebih ketat agar bisa dibuka untuk umum.

Dalam kasus Zcash ini, yang digunakan oleh para teknisi bukan Mythos yang masih terkunci, melainkan Opus 4.8 yang sudah dirilis, sudah tersedia, dan sudah masuk ke alur kerja orang biasa.

AI yang masuk ke bidang keamanan memberi tim kecil kemampuan audit sebesar tim besar. Ia mempercepat penemuan bug oleh pemelihara, sekaligus mempercepat pembacaan sistem oleh penyerang.

Dan yang paling berbahaya bukanlah model yang paling kuat, melainkan model yang cukup kuat, cukup murah, dan cukup umum.

Semakin biasa sebuah model, semakin banyak orang yang bisa menggunakannya. Jadi masalahnya bukan lagi apakah AI bisa menemukan celah, tetapi: ketika semua orang bisa menemukannya, apa yang akan terjadi.

Ketika Penemuan Bug Menjadi Gerakan Massal

Setelah AI menurunkan biaya penemuan celah, akan muncul dua hal.

Satu adalah yang palsu, laporan keamanan yang tampak meyakinkan tapi sebenarnya tidak bisa diverifikasi. Yang lain adalah yang asli, celah yang dulu tersembunyi di dalam sistem dan membutuhkan waktu berminggu-minggu bahkan berbulan-bulan oleh para ahli untuk menemukannya, kini mulai bisa ditemukan lebih cepat.

Yang pertama akan membanjiri pemelihara, yang kedua akan menembus sistem. Lebih rumit lagi, keduanya bisa datang bersamaan.

Keamanan siber sebenarnya memiliki narasi ideal: white hat menemukan celah, mengungkapkan secara bertanggung jawab, produsen memperbaiki, pengguna diuntungkan.

Banyak waktu lalu, dunia memang berjalan sesuai narasi ini. Tapi ketika AI menurunkan ambang batas "menemukan celah", dan semua orang bisa menggunakan model terbuka untuk mencari bug, yang datang adalah banyak orang yang ingin mendapatkan bounty atau membangun reputasi. Banyak dari mereka hanya menyalin prompt, lalu membuat laporan yang tampak cukup meyakinkan. Tapi laporan itu belum tentu benar.

Namun, apapun isinya, pemelihara harus menanggapinya dengan serius.

OpenSSF mengadakan diskusi tentang "Laporan Sampah AI" pada Februari 2026, khusus membahas bagaimana para pemelihara open source menghadapi laporan celah berkualitas rendah yang dihasilkan AI. curl pernah melaporkan, bahwa hingga pertengahan 2025, hanya sekitar 5% dari laporan bounty yang benar-benar celah, dan sekitar 20% tampak seperti konten rendah kualitas yang dihasilkan AI. OpenSSF menyebut, laporan semacam ini mirip DDoS, hanya saja yang diserang adalah perhatian manusia.

Pemelihara open source bukan pusat layanan pelanggan. Banyak dari mereka tidak digaji, tidak punya tim keamanan, dan tidak punya jadwal kerja tetap. Tapi sebuah proyek bisa menopang banyak sistem komersial di dunia. Perusahaan yang menghemat biaya besar lewat open source, mungkin tidak memberi bayaran kepada pemelihara. Tapi kalau terjadi masalah, mereka akan balik bertanya kenapa tidak diperbaiki lebih awal.

Curl kemudian menutup program bounty celah, karena orang tidak mampu lagi bertahan. Laporan keamanan sebenarnya bagian dari pertahanan, tapi ketika laporan dipenuhi sampah, pertahanan itu malah menjadi beban bagi yang menjaga.

AI memberi lebih banyak orang kemampuan untuk mengajukan laporan celah, tapi tidak memberi kemampuan untuk menilai kebenarannya. Bisa membuat laporan dengan model, belum tentu bisa memahami laporan itu; bisa menjalankan kode verifikasi, belum tentu tahu seberapa besar pengaruhnya.

Yang lebih berbahaya lagi, kita sebenarnya hidup di dunia di mana AI benar-benar bisa menemukan celah tak terhitung jumlahnya.

Keamanan yang dulu kita nikmati karena keberuntungan

Internet memberi ilusi terbesar bahwa segala yang bisa berjalan pasti andal.

Smartphone bisa bayar, kereta bisa scan, rumah sakit bisa daftar; cloud storage bahkan menyimpan foto lama kita dari sepuluh tahun lalu, kita lupa, tapi dia tidak. Hal-hal ini bekerja setiap hari, dan kita menganggapnya tidak bermasalah. Kepercayaan manusia terhadap teknologi, seringkali bukan karena yakin, tapi karena malas curiga.

Tapi kode seperti bangunan tua yang terus ditambah lantai. Di bawahnya ada protokol dan perpustakaan lama, di atasnya ada kebutuhan dadakan dan "langsung online dulu", di puncaknya ada kode warisan yang tak berani dihapus. Lampu menyala, lift berjalan, pengelola bilang semuanya normal. Tapi tidak ada yang tahu apakah ada retakan di balik dinding.

Heartbleed adalah contoh nyata. Sebuah celah di OpenSSL yang memungkinkan penyerang membaca kunci privat dan password dari memori server, baru ditemukan dan diperbaiki pada 2014. Sebelumnya, sudah mengendap selama lebih dari dua tahun, dan saat itu lebih dari 60% situs aktif di seluruh dunia berjalan di server yang terpengaruh. Dua tahun itu, separuh internet berjalan tanpa sadar, tanpa yang tahu.

Contoh lain adalah Baron Samedit di sudo. Pada 2021, Qualys mengungkapkan bahwa celah ini sudah ada hampir sepuluh tahun di sudo, salah satu alat hak akses paling umum di Unix/Linux.

Banyak lagi contoh serupa. Jika dilihat bersama, kita jadi sadar bahwa kita bisa berselancar di internet dengan aman sampai hari ini, sebenarnya sangat beruntung.

Mengapa celah ini bisa bertahan begitu lama tanpa terdeteksi?

Jawabannya sederhana: biaya mencari celah terlalu tinggi.

Biaya bukan cuma uang, tapi juga waktu dan kesabaran. Membaca kode, menyiapkan lingkungan, memahami protokol, mereproduksi kondisi batas, menulis kode verifikasi, menilai dampak, dan membedakan false positive. Kadang program berjalan semalaman tanpa hasil, satu jalur sudah dicoba habis, tapi tidak berhasil. Para peneliti keamanan dan hacker di dunia nyata sering berjuang dengan detail yang remuk.

Banyak celah bertahan lama bukan karena misterius, tapi karena orang yang mau, mampu, dan bersedia terus mencari sangat sedikit.

AI mengubah struktur biaya ini.

Dulu, banyak celah di tempat tersembunyi, alat terbatas. Sekarang, alat itu mulai diproduksi massal.

Dengan satu alat yang sama, bisa melihat retakan dan juga bisa melakukan serangan. Saat "menemukan" menjadi murah, "menyerang" juga jadi murah. Satu orang hari ini bisa pakai alat itu buat laporkan bug berkualitas rendah ke proyek open source, besok bisa pakai cara yang sama untuk scan sistem perusahaan; hari ini tertarik bounty celah, besok mungkin tertarik dana di blockchain.

Di balik internet yang normal

Sebelum benar-benar terjadi sesuatu, kita tidak bisa merasakan keberadaan "keamanan internet".

Kamu buka Alipay, scan, bayar, dana masuk, semua mungkin kurang dari tiga detik. Kamu tidak menyadari berapa banyak aturan risiko, sidik jari perangkat, pengenalan perilaku, penanggulangan kejahatan siber, respons celah, dan rencana darurat yang berjalan di belakang layar.

Pada Mei 2026, AntSRC mengadakan "Operasi Pemburu" sebagai kegiatan penghargaan celah, mencakup berbagai layanan seperti Alipay, Huabei, Jiebei, Ant Fortune, MyBank, Digital Science, dan Ant International. Untuk celah berisiko tinggi dan serius di transaksi pembayaran, dana hadiah bisa sampai lima kali lipat, mencapai 71.500 yuan.

Perusahaan besar juga sadar, mereka tidak bisa mengandalkan tim internal saja untuk menemukan semua masalah, harus melibatkan organisasi white hat eksternal dalam proses resmi. Keamanan seperti rantai kerja sama yang panjang: ada yang menemukan serangan, ada yang verifikasi, klasifikasi, perbaikan, rilis, dan harus ada yang mengawasi agar tidak menyakiti pengguna normal. Jika satu bagian putus, seluruh rantai gagal.

Laporan situasi keamanan dari Alibaba Cloud pada Oktober 2025 menyebutkan, platform cloud mereka setiap hari melindungi dari 6,245 miliar serangan, memblokir 27.500 IP jahat; bulan itu, mereka mendeteksi dan menahan 102.800 serangan DDoS, dengan puncak 2.1 Tbps.

Kebanyakan dari kita, saat "mengakses internet secara normal", sebenarnya sedang dilindungi oleh para insinyur keamanan yang menyelamatkan kita dari lautan anomali. Internet tidak pernah tenang.

Pemelihara open source tidak punya anggaran, jadwal tetap, tim darurat; perusahaan besar bisa membeli semua itu. Tapi bahkan mereka, hanya mampu mengandalkan rantai kerja sama manusia yang panjang, sehingga anomali tidak sampai dirasakan pengguna biasa.

Rantai kerja sama yang panjang dan rapuh ini sudah penuh beban sebelum AI masuk secara besar-besaran. Sekarang, jika kita menambah celah dan laporan berkali lipat, akankah tim pertahanan mampu menghadapinya?

Setelah menemukan celah, siapa yang akan memperbaikinya

Laporan keamanan dari ISC2 tahun 2024 memperkirakan, ada sekitar 5,5 juta profesional keamanan siber di dunia, dengan kekurangan 4,8 juta orang, meningkat 19% dari tahun sebelumnya. Mereka menjelaskan, "kekurangan" ini bukan sekadar posisi kosong di pengumuman lowongan, tetapi jarak antara orang yang organisasi butuhkan dan yang tersedia secara nyata.

Angka ini sangat sederhana: banyak celah, orangnya kurang.

Bukan cuma jumlahnya, tapi juga kemampuan orang yang mampu mengerjakan pekerjaan rumit. ISC2 juga menyebutkan, 67% responden mengatakan organisasi mereka kekurangan tenaga keamanan siber, 58% merasa kekurangan ini menimbulkan risiko besar, 31% mengatakan tidak ada staf tingkat pemula, dan 15% tidak punya pegawai dengan pengalaman 1-3 tahun. Banyak organisasi tidak hanya kekurangan orang, tapi juga jalur pengembangan generasi berikutnya.

Ini lebih rumit dari sekadar kekurangan orang. Kekurangan orang hari ini, adalah masalah hari ini; tidak punya pegawai pemula, berarti ke depan juga tidak akan punya.

Laporan "Pengembangan Talenta Industri Keamanan Siber Era AI" di dalam negeri juga menyajikan data: pada 2025, 46,2% dari peserta yang disurvei memiliki gaji tahunan pra-pajak antara 200.000 sampai 300.000 yuan. Pasar bersedia membayar untuk talenta inti, karena orang yang mampu menangani ancaman kompleks dan membuat penilaian saat insiden sangat langka. Laporan juga menunjukkan, 56,5% dari peserta mengatakan AI membantu mereka lebih fokus pada analisis ancaman kompleks, dan 33,0% beralih dari eksekusi ke strategi.

Ini sangat penting.

Saat ini, yang paling kita butuhkan adalah orang yang mampu membaca celah di tengah malam, menilai dampaknya, berkoordinasi dengan pihak terkait, dan menulis patch. Keamanan bukan pekerjaan yang mengandalkan inspirasi sesaat, tapi pekerjaan berat dan kotor. Jika kita pecah kata "keamanan siber", isinya hanya false alarm, salah tangkap, patch tak berujung, rapat tak berujung, dan panggilan tengah malam yang membangunkan.

Bakteri pes tidak pernah hilang

Camus menulis sebuah novel berjudul "The Plague" (Wabah).

Kisahnya terjadi di sebuah kota kecil di Afrika Utara. Wabah tiba-tiba meletus, gerbang kota ditutup, semua orang terjebak di dalam. Kehidupan sehari-hari hancur dalam semalam. Awalnya panik, lalu menjadi apatis, lalu terbiasa. Sampai akhirnya wabah mereda, gerbang dibuka kembali, dan jalanan kembali riang.

Di akhir novel, Camus berkata: "Menurut catatan medis, bakteri pes tidak pernah benar-benar mati, dan tidak akan hilang. Mereka bisa bertahan di perabot, pakaian, selimut selama puluhan tahun; menunggu di kamar, ruang bawah tanah, koper, sapu tangan, dan kertas bekas. Mungkin suatu hari, wabah akan kembali membangkitkan kawanan tikusnya, menguburkan mereka di kota yang bahagia, dan manusia akan kembali terserang penyakit, belajar dari pengalaman."

Saya selalu merasa, kalimat ini sangat cocok untuk menggambarkan celah di dunia maya.

Celah itu bukan muncul hari saat ditemukan. Ia sudah lama ada di dalam kode, tidak terdengar suaranya, dan kita salah mengira keheningan sebagai keamanan.

Kita sudah terbiasa dengan rutinitas yang tidak lagi dipertanyakan, semuanya berjalan di atas kode. Ada utang lama yang belum dilunasi, karena yang menagih sedikit. Setelah AI datang, utang itu tiba-tiba bertambah.

Yang menakutkan bukan hanya semakin banyak hacker. Di sisi lain sistem, orang yang menangani masalah tidak bertambah sebanding.

Inilah perjuangan terbesar di era keamanan AI. Kemampuan menyebar sendiri, tanggung jawab tidak; menemukan celah semakin murah, memperbaikinya tetap mahal seperti dulu. Kerusakan bisa diduplikasi dengan skrip tak terbatas, kepercayaan hanya bisa dibangun kembali secara perlahan, satu sistem dan satu tim.

AI tidak akan menghancurkan internet dalam semalam. Ia lebih seperti menyalakan lampu. Kita akhirnya sadar, kehidupan digital bukanlah tatanan otomatis yang alami, melainkan hasil kerja keras orang-orang yang setiap hari menekan risiko sampai kita tidak merasakannya.

Ke depan, yang benar-benar mahal bukanlah menemukan celah, tetapi apakah masih ada cukup orang yang bersedia memperbaiki celah satu per satu.