Claude Mythos AI Temukan Ribuan Bug Berbahaya di Software

Perkembangan kecerdasan buatan atau artificial intelligence (AI) kini tidak hanya membawa perubahan besar dalam dunia teknologi, tetapi juga mulai memainkan peran penting dalam keamanan siber global. Perusahaan AI Anthropic baru-baru ini mengungkapkan bahwa proyek keamanan siber miliknya bernama Project Glasswing berhasil menemukan lebih dari 10.000 kerentanan berbahaya pada perangkat lunak yang banyak digunakan di seluruh dunia.

Temuan tersebut menjadi sorotan besar di industri keamanan siber karena sebagian besar celah keamanan yang ditemukan memiliki tingkat keparahan tinggi hingga kritis. Bahkan, beberapa di antaranya berpotensi dimanfaatkan oleh penjahat siber untuk melakukan serangan serius terhadap sistem digital perusahaan maupun lembaga penting.

Project Glasswing merupakan inisiatif pertahanan siber yang diluncurkan Anthropic untuk membantu mengamankan infrastruktur perangkat lunak global. Program ini memanfaatkan kemampuan AI canggih bernama Claude Mythos Preview yang dirancang untuk mendeteksi kerentanan perangkat lunak secara otomatis sebelum dieksploitasi oleh pihak tidak bertanggung jawab.

Anthropic memberikan akses awal terhadap teknologi tersebut kepada sekitar 50 mitra strategis yang terdiri dari organisasi keamanan siber, perusahaan teknologi, hingga lembaga tertentu yang memiliki peran penting dalam menjaga keamanan digital. Melalui pendekatan ini, Anthropic ingin memastikan bahwa teknologi AI digunakan lebih dulu oleh pihak bertahan atau defender sebelum dimanfaatkan oleh pelaku serangan siber.

Dalam laporan terbarunya, Anthropic menyebutkan bahwa dari total lebih dari 10.000 kerentanan yang ditemukan, sebanyak 6.202 di antaranya tergolong sebagai celah dengan tingkat risiko tinggi atau kritis. Kerentanan tersebut memengaruhi lebih dari 1.000 proyek open-source yang digunakan secara luas oleh banyak organisasi di seluruh dunia.

Setelah melalui proses verifikasi lebih lanjut, sekitar 1.726 kerentanan dinyatakan sebagai temuan valid. Dari jumlah tersebut, sebanyak 1.094 celah dinilai benar-benar memiliki dampak serius terhadap keamanan sistem dan berpotensi membuka jalan bagi serangan siber berbahaya.

Salah satu kerentanan paling serius ditemukan pada WolfSSL dengan kode CVE-2026-5194 dan skor CVSS 9.1. Celah ini memungkinkan penyerang memalsukan sertifikat digital dan menyamar sebagai layanan resmi. Jika dimanfaatkan, serangan tersebut dapat membahayakan komunikasi terenkripsi serta membuka peluang pencurian data sensitif pengguna.

Anthropic menyebut bahwa hasil dari Project Glasswing telah membantu memperbaiki 97 temuan keamanan yang langsung ditangani oleh pengembang perangkat lunak terkait. Selain itu, sebanyak 88 advisory keamanan juga telah diterbitkan untuk memperingatkan pengguna mengenai ancaman yang ditemukan.

Menurut Anthropic, tantangan terbesar di dunia keamanan siber saat ini bukan hanya menemukan kerentanan, melainkan memperbaikinya dengan cepat sebelum dimanfaatkan penyerang. Perusahaan itu mengakui bahwa AI membuat proses pencarian celah keamanan menjadi jauh lebih cepat dan efisien dibanding sebelumnya.

Namun di sisi lain, kondisi tersebut juga berarti jumlah kerentanan yang ditemukan akan meningkat drastis sehingga vendor perangkat lunak harus bekerja lebih keras dalam merilis patch keamanan. Situasi ini bahkan mulai terlihat di industri teknologi global.

Microsoft sebelumnya mengungkapkan bahwa jumlah patch keamanan yang dirilis setiap bulan diperkirakan akan terus meningkat dalam beberapa waktu mendatang. Lonjakan tersebut dipicu oleh semakin luasnya penggunaan AI untuk menemukan bug dan kerentanan pada perangkat lunak.

Platform keamanan ofensif otonom XBOW juga memberikan penilaian positif terhadap Claude Mythos Preview. Mereka menyebut model AI tersebut sebagai kemajuan besar karena mampu menemukan kandidat kerentanan dengan tingkat akurasi lebih baik dibanding model AI sebelumnya.

Tidak hanya itu, Mythos Preview juga dinilai sangat efektif dalam menganalisis source code dengan perspektif keamanan. Beberapa analisis bahkan menunjukkan bahwa model AI ini mampu menghubungkan sejumlah kelemahan keamanan menjadi rantai serangan siber yang lengkap atau end-to-end attack chain.

Kemampuan tersebut memperlihatkan bagaimana AI generasi terbaru kini mulai mendekati kemampuan analis keamanan siber profesional dalam memahami pola serangan digital yang kompleks. Kondisi ini membawa dua sisi sekaligus, yakni peluang besar untuk memperkuat pertahanan siber dan ancaman baru apabila teknologi serupa jatuh ke tangan pihak yang salah.

Anthropic juga mengungkapkan bahwa manfaat Mythos Preview tidak hanya terbatas pada pencarian kerentanan perangkat lunak. Dalam salah satu kasus, sebuah bank mitra Project Glasswing berhasil mencegah upaya penipuan transfer dana senilai 1,5 juta dolar AS berkat bantuan AI tersebut.

Kasus tersebut bermula ketika pelaku berhasil meretas akun email pelanggan bank dan melakukan panggilan telepon palsu untuk meyakinkan pihak bank agar melakukan transfer dana. Namun, sistem AI berhasil mendeteksi pola aktivitas mencurigakan sehingga transaksi palsu tersebut dapat dicegah sebelum dana berpindah.

Melihat perkembangan kemampuan AI yang semakin cepat, Anthropic memperingatkan bahwa model dengan kemampuan setara Mythos kemungkinan akan tersedia lebih luas dalam waktu dekat. Karena itu, perusahaan mendesak vendor perangkat lunak agar mempercepat proses pembaruan keamanan dan distribusi patch.

Sebagai contoh, Oracle kini mulai menerapkan siklus patch bulanan untuk menangani masalah keamanan kritis dengan lebih cepat. Langkah ini dinilai penting untuk mengurangi risiko eksploitasi sebelum kerentanan diketahui publik secara luas.

Anthropic juga meminta organisasi dan pengelola jaringan memperkuat sistem keamanan internal mereka. Beberapa langkah yang disarankan meliputi penggunaan autentikasi multi-faktor, penguatan konfigurasi default jaringan, serta penyimpanan log keamanan secara menyeluruh agar proses deteksi dan respons ancaman dapat dilakukan lebih cepat.

Selain itu, Anthropic turut meluncurkan Cyber Verification Program yang memungkinkan profesional keamanan menggunakan model AI mereka tanpa guardrail tertentu untuk tujuan sah seperti penetration testing, riset kerentanan, dan red teaming.

Program ini memiliki konsep serupa dengan Daybreak milik OpenAI yang memungkinkan para defender memanfaatkan GPT-5.5-Cyber untuk kebutuhan keamanan siber tingkat lanjut.

Meski demikian, hingga saat ini model seperti Mythos Preview maupun GPT-5.5-Cyber masih belum dirilis secara publik. Hal tersebut disebabkan kekhawatiran bahwa teknologi AI dengan kemampuan ofensif tinggi dapat disalahgunakan dalam skala besar apabila belum memiliki sistem perlindungan yang memadai.

Anthropic menilai Project Glasswing dapat memberikan keunggulan strategis bagi pihak defender dalam menghadapi ancaman siber modern. Namun perusahaan tersebut juga menegaskan bahwa keamanan siber bukan lagi tanggung jawab segelintir perusahaan teknologi saja.

Di tengah meningkatnya ancaman digital dan kemampuan AI yang terus berkembang, organisasi di seluruh dunia dinilai perlu memperkuat pertahanan siber mereka secepat mungkin. Anthropic berharap kombinasi AI, riset keamanan, serta kolaborasi industri dapat membantu menciptakan ekosistem digital yang lebih aman di masa depan.