Oleh Sleepy
Seseorang menggunakan Claude Opus 4.8 menemukan sebuah Bug, yang membuat nilai pasar sebuah mata uang kripto menguap 4.5 miliar dolar AS.
Permulaannya adalah sebuah audit keamanan. Zcash adalah jaringan privasi lawas yang menggunakan bukti tanpa pengetahuan (zero-knowledge proof) untuk melindungi informasi transaksi, dan Orchard adalah inti tempat kemampuan transaksi privasi ini berada.
Pada 29 Mei, peneliti keamanan Taylor Hornby dalam audit protokol yang ditugaskan oleh Shielded Labs menemukan lubang keamanan serius di Orchard, yang memungkinkan penyerang untuk membuat token yang seharusnya tidak ada dari ketiadaan, alias "pencetakan tanpa batas".
Zcash kemudian menyelesaikan pembaruan darurat dalam beberapa hari, mengonfirmasi secara resmi bahwa celah tersebut memang ada, tetapi tidak dapat mengonfirmasi apakah sudah ada yang memanfaatkannya untuk mencetak token. Setelah pernyataan resmi dirilis pada 5 Juni, harga Zcash anjlok 50%.
Opus 4.8 dari Anthropic diluncurkan pada 28 Mei. Keesokan harinya, lubang keamanan ini ditemukan.
Bukan Mythos, tapi Opus
Peristiwa Zcash ini menakutkan, bukan karena AI-nya kuat, tetapi karena kali ini dia kuatnya terlalu biasa.
Sebelum ini, yang benar-benar ditakuti industri keamanan adalah Claude Mythos Preview dari Anthropic. Pada April 2026, Anthropic pernah mempublikasikan sebuah penilaian kemampuan keamanan siber, menyatakan bahwa Mythos Preview dalam tes mampu mengidentifikasi dan memanfaatkan lubang keamanan nol-hari (zero-day) dalam sistem operasi dan browser utama. Beberapa lubang keamanan sangat tersembunyi, terpendam selama belasan tahun, salah satunya bug OpenBSD bahkan bisa dilacak hingga 27 tahun lalu.
Penilaian tersebut juga mengatakan, seorang insinyur tanpa latar belakang keamanan, juga bisa membuat Mythos Preview bekerja semalaman untuk mencari kerentanan eksekusi kode jarak jauh, dan bangun keesokan harinya, akan melihat satu set kode serangan yang lengkap dan siap pakai.
Ini berarti kemampuan yang sebelumnya hanya dikuasai segelintir orang untuk jangka panjang, kini sedang berubah menjadi layanan yang bisa diakses siapa saja kapan saja. Kemampuan ini sendiri tidak memiliki posisi politik, perbedaannya hanya pada siapa yang menggunakannya, dan untuk apa digunakan.
Anthropic sendiri juga paham akan hal ini. Itu sebabnya mereka membuat Project Glasswing, menyerahkan Mythos Preview terlebih dahulu kepada sejumlah organisasi terpilih, untuk digunakan dalam pekerjaan keamanan defensif. Mereka juga mengakui, model dengan level seperti ini memerlukan perlindungan yang lebih kuat dan batasan penggunaan yang lebih keras, baru bisa dibuka untuk semua orang.
Tapi dalam peristiwa Zcash ini, alat yang digunakan oleh teknisi bukanlah Mythos yang masih terkunci itu, melainkan Opus 4.8 yang sudah dirilis, sudah tersedia, dan sudah masuk dalam alur kerja orang biasa.
AI yang masuk ke bidang keamanan memberi tim kecil kemampuan audit seperti tim besar. Membuat pemelihara menemukan bug lebih cepat, sekaligus juga membuat penyerang memahami sistem lebih cepat.
Dan yang paling berbahaya belum tentu model yang paling kuat, melainkan model yang cukup kuat, cukup murah, dan cukup umum.
Semakin umum sebuah model, semakin banyak orang yang bisa menggunakannya. Maka masalahnya bukan lagi apakah AI bisa menemukan lubang keamanan, melainkan: ketika semua orang bisa menemukannya, apa yang akan terjadi?
Ketika Mencari Bug Menjadi Gerakan Massal
Setelah AI membuat penemuan kerentanan menjadi murah, akan muncul dua hal.
Satu palsu, yaitu sejumlah besar laporan keamanan yang terlihat meyakinkan tetapi sebenarnya tidak tahan verifikasi. Satunya lagi benar, lubang keamanan yang sebelumnya tersembunyi dalam-dalam sistem, butuh waktu berminggu-minggu atau bahkan berbulan-bulan bagi ahli untuk menemukannya, juga mulai dibongkar lebih cepat.
Yang pertama akan membanjiri pemelihara, yang kedua akan menembus sistem. Dan yang lebih merepotkan, keduanya akan datang bersamaan.
Keamanan siber sebenarnya memiliki narasi ideal: topi putih menemukan kerentanan, mengungkapkannya secara bertanggung jawab, produsen memperbaiki, pengguna diuntungkan.
Dulu, sering kali dunia berjalan sesuai narasi ini. Tapi ketika AI menurunkan ambang "menemukan kerentanan", ketika semua orang bisa menggunakan model publik untuk mencari bug, yang membanjiri adalah banyak orang yang ingin mencari hadiah, ingin meningkatkan reputasi. Banyak dari mereka hanya menyalin petunjuk (prompt), lalu model menghasilkan laporan yang terlihat cukup meyakinkan. Laporannya belum tentu benar.
Tapi benar atau salah, pemelihara harus menanganinya dengan serius.
OpenSSF pada Februari 2026 pernah membahas soal "Laporan Sampah AI", khusus meneliti bagaimana pemelihara proyek sumber terbuka seharusnya menanggapi laporan kerentanan berkualitas rendah yang dihasilkan AI. curl pernah melaporkan, hingga pertengahan 2025, hanya sekitar 5% pengajuan hadiah bug yang merupakan kerentanan nyata, sekitar 20% terlihat seperti konten berkualitas rendah hasil AI. OpenSSF mengatakan, laporan semacam ini mirip DDoS, hanya saja ini menyerang perhatian manusia.
Pemelihara sumber terbuka bukanlah pusat layanan pelanggan. Banyak di antara mereka tidak memiliki gaji, tidak memiliki tim keamanan, juga tidak memiliki jadwal piket. Tapi sebuah proyek mungkin menopang sistem komersial tak terhitung di dunia, perusahaan yang menghemat biaya besar berkat sumber terbuka, belum tentu membayar pemelihara sepeser pun; namun begitu terjadi masalah, mereka semua akan bertanya kenapa tidak diperbaiki lebih awal.
curl kemudian menutup proyek hadiah bug (bug bounty), karena orang-orang sudah tidak kuat. Laporan keamanan seharusnya menjadi bagian dari garis pertahanan, tapi ketika laporan dipenuhi sampah, garis pertahanan ini justru akan menguras orang-orang yang berjaga di belakangnya.
AI memberi lebih banyak orang kemampuan untuk mengirimkan laporan kerentanan, tetapi tidak memberi lebih banyak orang kemampuan untuk menilai kebenaran kerentanan. Bisa membuat model menghasilkan laporan, tidak berarti mengerti laporan tersebut; bisa menjalankan kode verifikasi, juga tidak berarti bisa menjelaskan seberapa besar dampaknya.
Dan yang lebih fatal, sebenarnya kita hidup di dunia yang benar-benar bisa menemukan tak terhitung lubang keamanan dengan AI.
Kedamaian Kita di Masa Lalu, Beruntung Saja
Ilusi terbesar yang diberikan internet adalah, sesuatu yang bisa berjalan pasti dapat diandalkan.
Ponsel bisa bayar, kereta bawah tanah bisa pindai kode, rumah sakit bisa daftar antrean; bahkan di penyimpanan awan masih tersimpan foto Anda sepuluh tahun lalu, Anda sudah lupa, tapi dia ingat. Hal-hal ini bekerja setiap hari, sehingga kita menganggapnya tanpa masalah sama sekali. Kepercayaan manusia pada teknologi, sering kali bukan kepercayaan, tetapi malas meragukan.
Tapi kode seperti gedung tua yang terus ditambah, di bawahnya menumpuk protokol lama, pustaka lama, di atasnya ditambahi kebutuhan sementara dan "diluncurkan dulu", di puncaknya masih menumpuk kode warisan yang tidak ada yang berani hapus. Lampu di dalam gedung menyala, lift masih naik turun, pengelola juga bilang semuanya normal. Tapi tidak ada yang tahu apakah ada retakan di tembok.
Heartbleed adalah contoh klasik. Sebuah kerentanan di OpenSSL, memungkinkan penyerang membaca kunci privat dan kata sandi di memori server, baru ditemukan dan diperbaiki pada 2014. Sebelum itu, dia sudah terpendam lebih dari dua tahun, dan saat itu lebih dari enam puluh persen situs web aktif global berjalan di server yang terdampak. Dua tahun, sebagian besar internet hampir telanjang, tidak ada yang tahu.
Lalu Baron Samedit di sudo. Ketika diungkap oleh Qualys pada 2021, mereka mencatat bahwa kerentanan ini sudah ada di sudo selama hampir sepuluh tahun, sedangkan sudo adalah salah satu alat izin yang paling umum digunakan di dunia Unix/Linux.
Masih banyak contoh serupa. Kalau dilihat bersama, tiba-tiba terasa, kita bisa berselancar di internet dengan aman hingga hari ini, sebenarnya juga cukup beruntung.
Kenapa kerentanan-kerentanan ini begitu lama tidak ditemukan?
Jawabannya sederhana: biaya menemukan kerentanan terlalu tinggi.
Biaya bukan hanya uang, tapi juga waktu dan kesabaran. Harus membaca kode, menyiapkan lingkungan, memahami protokol, mereproduksi kondisi batas, menulis kode verifikasi, menilai cakupan dampak, juga harus bisa membedakan mana yang salah lapor. Kadang program berjalan semalaman tidak ada hasil, satu jalur dicoba sampai ujung, ternyata sama sekali tidak bisa dilalui. Peneliti keamanan dan peretas di dunia nyata, sering kali justru menyiksa diri dengan segudang detail yang berantakan.
Dulu banyak kerentanan bisa bersembunyi begitu lama, bukan karena mereka misterius, tapi karena orang yang mau, mampu, dan terus mencari sampai akhir, terlalu sedikit.
Apa yang diubah oleh AI, justru struktur biaya ini.
Dulu ada terlalu banyak sudut gelap, terlalu sedikit senter. Sekarang senter mulai dijual grosiran.
Tapi senter yang sama, bisa menyoroti retakan, juga bisa menyoroti tempat yang bisa diserang. Dia membuat "penemuan" menjadi murah saat itu juga, sekaligus membuat "serangan" menjadi murah. Seseorang hari ini menggunakannya untuk mengirim laporan berkualitas rendah ke proyek sumber terbuka, besok bisa menggunakan metode yang sama untuk memindai sistem sebuah perusahaan; hari ini memikirkan hadiah bug, besok mungkin memikirkan dana di blockchain.
Di Balik Berselancar Internet yang Normal
Sesungguhnya, sebelum benar-benar terjadi masalah, kita tidak bisa merasakan keberadaan "keamanan internet".
Anda membuka Alipay, memindai kode, membayar, dana masuk, seluruh proses mungkin kurang dari tiga detik. Anda tidak akan memikirkan berapa banyak aturan pengendalian risiko, sidik jari perangkat, pengenalan perilaku, pertarungan melawan pasar gelap, respons terhadap kerentanan, dan rencana darurat di baliknya.
Pada Mei 2026, Pusat Respons Keamanan Ant AntSRC mengadakan kegiatan hadiah bug "Operasi Pemburu", cakupan pengujian meliputi Alipay, Huabei, Jiebei, Ant Fortune, MyBank, Digital Technology, Ant International, dll. Untuk kerentanan tingkat tinggi dan kritis dalam produk transaksi pembayaran, dana, dan tagihan, hadiah tertinggi 5 kali lipat, bisa mencapai 71.500 yuan.
Perusahaan besar sebenarnya juga paham, mereka tidak mungkin hanya mengandalkan tim internal untuk menemukan semua masalah, jadi harus mengorganisir topi putih eksternal ke dalam proses formal. Keamanan lebih mirip rantai kolaborasi yang panjang: ada yang menemukan serangan, ada yang memverifikasi, menetapkan tingkat, memperbaiki, merilis, juga ada yang khusus mengawasi agar tidak salah menargetkan pengguna normal. Rantai ini putus satu mata rantai saja, tidak bisa.
Laporan situasi keamanan Alibaba Cloud pada Oktober 2025 menulis, platform awan rata-rata mempertahankan serangan 6,245 miliar kali per hari untuk klien, memblokir 27.500 IP jahat; pada bulan itu memantau dan memblokir serangan DDoS 102.800 kali, puncaknya 2100 Gbps.
Apa yang kita sebut "berselancar internet normal" sehari-hari, sebenarnya adalah jalan sempit yang direbut para insinyur keamanan dari lautan ketidaknormalan untuk kita. Internet tidak pernah sepi.
Pemelihara sumber terbuka tidak memiliki anggaran, tidak memiliki jadwal piket, tidak memiliki tim darurat; perusahaan besar bisa membeli semua ini. Tapi bahkan perusahaan besar, hanya bisa mengandalkan rantai kolaborasi manusia yang panjang dan rapuh ini, untuk menekan ketidaknormalan hingga tingkat yang tidak terasa oleh pengguna biasa.
Dan rantai kolaborasi yang panjang dan rapuh ini, sudah penuh beban bahkan sebelum AI secara besar-besaran terlibat. Sekarang Anda tuangkan lagi kerentanan berlipat ganda, laporan berlipat ganda, apakah orang di sisi pertahanan ini cukup?
Setelah Menemukan Kerentanan, Siapa yang Akan Memperbaikinya?
Laporan Talenta Keamanan Siber ISC2 tahun 2024 memperkirakan, praktisi keamanan siber yang benar-benar bertugas di seluruh dunia sekitar 5,5 juta, sedangkan kekurangan talenta mencapai 4,8 juta, meningkat 19% dari tahun sebelumnya. Khusus dijelaskan, "kekurangan" ini bukan berapa banyak lowongan kerja yang tergantung di situs web, melainkan kesenjangan antara jumlah orang yang menurut organisasi diperlukan untuk perlindungan penuh, dengan personel yang tersedia di kenyataan.
Makna sederhana dari angka-angka ini: banyak kerentanan, tapi orang tidak cukup.
Dan bukan hanya jumlah orang yang tidak cukup, tapi orang yang bisa mengerjakan pekerjaan rumit tidak cukup. ISC2 juga menyebutkan, 67% responden mengatakan organisasi mereka mengalami kekurangan personel keamanan siber, 58% berpendapat kekurangan ini menempatkan organisasi pada risiko signifikan. 31% mengatakan tim keamanan mereka tidak memiliki karyawan tingkat pemula, 15% mengatakan tidak memiliki karyawan junior berpengalaman 1-3 tahun. Banyak organisasi tidak hanya kekurangan orang, tapi juga kekurangan saluran untuk melatih generasi berikutnya.
Ini lebih merepotkan daripada tidak bisa merekrut orang. Tidak bisa merekrut orang, adalah urusan hari ini; tidak ada karyawan junior, berarti besok juga tidak bisa merekrut orang.
Laporan "Pengembangan Talenta Industri Keamanan Siber di Era AI" dalam negeri juga menyediakan sekelompok data: tahun 2025, dari responden praktisi, 46,2% memiliki gaji tahunan sebelum pajak antara 200.000 hingga 300.000 yuan. Pasar bersedia membayar untuk talenta inti, karena orang yang benar-benar bisa menangani ancaman kompleks, bisa membuat keputusan dalam insiden, sungguh terlalu langka. Laporan tersebut juga menunjukkan, 56,5% praktisi mengatakan, AI membuat mereka lebih fokus pada analisis ancaman kompleks, 33,0% menyatakan sedang beralih dari lapisan pelaksana ke perumus strategi.
Ini sangat krusial.
Apa yang paling kita butuhkan sekarang, adalah orang yang bisa memahami sebuah kerentanan di tengah malam, menilai seberapa besar dampaknya, mengoordinasikan hulu-hilir, menulis tambalan (patch). Keamanan tidak pernah bergantung pada karier yang bergantung pada kilatan inspirasi, itu adalah pekerjaan kotor yang melelahkan. Bongkar kata "keamanan siber", di dalamnya hanya ada salah lapor, kambing hitam, tambalan yang tidak pernah selesai, rapat yang tidak pernah berakhir, dan telepon yang membangunkan Anda pukul tiga pagi.
Basil Pes Tidak Pernah Hilang
Camus pernah menulis novel berjudul "La Peste" (Sampar).
Ceritanya terjadi di sebuah kota kecil biasa di Afrika Utara. Wabah tiba-tiba meletus, gerbang kota ditutup, semua orang terkunci di dalamnya. Kehidupan sehari-hari hancur dalam semalam. Orang-orang panik dulu, kemudian mati rasa, lalu terbiasa. Hingga wabah akhirnya mereda, gerbang kota dibuka kembali, suara tawa kembali terdengar di jalanan.
Camus di akhir novel mengatakan: "Menurut catatan medis, basil pes tidak pernah punah, juga tidak pernah hilang, mereka bisa bertahan hidup selama puluhan tahun di perabotan, pakaian, dan selimut; dengan sabar menunggu di kamar, ruang bawah tanah, koper, saputangan, dan kertas bekas. Mungkin suatu hari, pes akan membangunkan kembali kawanan tikusnya, membuat mereka terkubur di suatu kota bahagia, membuat manusia kembali menderita malapetaka, mengambil pelajaran lagi."
Saya selalu merasa, kalimat ini sangat cocok untuk menggambarkan kerentanan jaringan.
Dia tidak lahir pada hari dia ditemukan. Dia sudah lama berbaring di dalam kode, dulu tidak ada yang mendengar napasnya, sehingga kita menganggap keheningan sebagai keamanan.
Keseharian yang sudah kita biasakan hingga tidak lagi meragukan, semuanya berjalan di atas kode. Ada utang lama di dalam kode, utang lama dulu tidak terburu-buru dibayar, karena penagihnya sedikit. Setelah AI datang, penagih tiba-tiba menjadi banyak.
Yang menakutkan bukan hanya peretas akan bertambah banyak. Di sisi lain sistem, orang yang menangani masalah tidak bertambah secara proporsional.
Inilah tempat paling berjuang di era keamanan AI. Kemampuan akan menyebar sendiri, tanggung jawab tidak; menemukan sebuah kerentanan semakin murah, memperbaikinya masih semahal dulu. Perusakan bisa disalin berkali-kali oleh skrip, kepercayaan hanya bisa dikumpulkan perlahan satu sistem, satu tim.
AI tidak akan menghancurkan internet dalam semalam. Hal yang dilakukannya lebih seperti menyalakan lampu. Kita akhirnya melihat, kehidupan digital tidak pernah menjadi tatanan alami yang berjalan otomatis, melainkan sekelompok orang yang hari demi hari menekan risiko hingga tingkat yang tidak kita rasakan.
Nanti yang benar-benar mahal, bukan menemukan kerentanan. Tapi apakah masih ada cukup banyak orang yang bersedia memperbaiki kerentanan satu per satu.
