Sebuah alat AI berhasil mengungkap kerentanan mematikan yang tersembunyi dalam Linux selama 15 tahun. Sementara itu, AI lainnya, karena satu angka yang salah terekam, membuat empat mobil polisi mengepung seorang jurnalis tak bersalah dan menganggapnya sebagai pencuri mobil.
"Apakah Anda membawa senjata? Keluar dari mobil!"
Pada suatu Minggu sore yang biasa, Joel Feder, seorang jurnalis otomotif, mengendarai Range Rover senilai 155 ribu dolar AS untuk mengembalikannya. Baru saja mundur sekitar dua kaki dari tempat parkir, empat mobil polisi datang melaju dari empat arah, mengepungnya dan istrinya.
Polisi dengan tangan siap di gagang pistol, waspada seolah menghadapi musuh berat.

Tanggal 28 Juni 2026 pukul 12:21, kamera body cam polisi merekam saat Feder dikepung. Plat nomornya salah diidentifikasi oleh sistem Flock sebagai plat mobil yang dicuri. (Sumber: Joel Feder / Instagram)
Polisi melompat keluar dari mobil dan berteriak padanya. Situasi seperti ini bisa memburuk dengan cepat. Oleh karena itu, Feder terpaksa mengikuti perintah, mengangkat kedua tangannya, dan turun dari mobil.
Dia dianggap sebagai tersangka pencuri mobil.
Padahal, dia sama sekali tidak mencuri mobil. Yang membuatnya dianggap pencuri adalah sebuah kesalahan input sederhana yang terjadi 2000 mil jauhnya, ditambah dengan jaringan kamera AI yang tidak pernah beristirahat.
Hampir bersamaan dengan itu, AI lain membantu manusia menemukan kerentanan mematikan yang telah bersembunyi dalam kernel Linux selama 15 tahun penuh, mempengaruhi hampir semua distribusi Linux.
Keduanya mengikuti logika "mengenali pola, menilai otomatis, memicu tindakan". Satu AI membantu manusia menambal celah, AI lainnya hampir membahayakan orang. Inilah kisah yang akan kita bahas hari ini.
AI Mengungkap Kerentanan Usia 15 Tahun, Dapatkan Root dalam 5 Detik
Pertama, kita bicara tentang AI membantu manusia menambal celah ini.
Belum lama ini, perusahaan keamanan Nebula Security mengungkapkan bahwa mereka menggunakan alat penggalian kerentanan bertenaga AI bernama VEGA untuk menemukan kerentanan kernel Linux berjuluk GhostLock (CVE-2026-43499).

7 Juli 2026, Nebula Security mempublikasikan laporan teknis GhostLock (CVE-2026-43499), menyebutkan ditemukan oleh alat AI VEGA, melintasi hampir semua distribusi Linux sejak 2011. (Sumber: Nebula Security)
Kerentanan ini telah tertidur selama 15 tahun.
Ia diperkenalkan pada 2011. Sejak saat itu, hampir setiap distribusi Linux utama membawanya secara default, namun tak pernah ada yang menyadarinya.
Ini berarti: tak terhitung server, host cloud, kontainer di seluruh dunia yang berjalan memiliki bom waktu ini tertanam di dasarnya.
Seberapa mudah meledakkannya? Penyerang tidak memerlukan izin khusus apapun, juga tidak memerlukan konfigurasi langka. Hanya dengan pemanggilan thread biasa, mereka dapat melangkah demi melangkah mencapai hak akses tertinggi, bahkan keluar dari kontainer.
Nebula mengubahnya menjadi chain privilege escalation yang 97% stabil. Pada mesin uji, dari pengguna biasa ke root, hanya membutuhkan sekitar 5 detik. Dengan hasil ini, KernelCTF milik Google memberikan hadiah sebesar 92.337 dolar AS kepada mereka.
"Demonstrasi privilege escalation GhostLock (CVE-2026-43499): Seorang pengguna biasa menjalankan program eksploitasi, beberapa detik kemudian terminal menampilkan uid=0 (root), langsung mendapatkan hak akses tertinggi. (Sumber video: Nebula Security)"
Kerentanan ini tersembunyi dalam mekanisme manajemen lock kernel Linux. Singkatnya, kernel "salah mengenali orang".
Mari kita beri analogi. Di dalam kernel ada fungsi pembersihan bernama remove_waiter(), yang khusus bertugas satu hal: saat sebuah thread mengantri menunggu lock, setelah mendapatkannya atau memutuskan untuk tidak menunggu lagi, catatan antrian yang ditinggalkannya dibersihkan.
Awalnya, fungsi ini hanya mempertimbangkan situasi paling sederhana — siapa yang mengantri, dia sendiri yang menghapus nomornya. Jadi ia mengasumsikan "thread yang sekarang berdiri di depan jendela ini, adalah yang ingin menghapus nomornya", setiap kali membersihkan berdasarkan "thread saat ini".
Di era mengantri sendiri dan menghapus sendiri, asumsi ini tidak pernah salah.
Tapi kemudian, kernel memiliki fitur baru: sebuah thread dapat mengantri untuk thread lain yang "sedang tidur" — yang dimaksud tidur adalah saat menunggu lock, thread itu ditangguhkan, melepaskan CPU, dan berhenti di tempatnya menunggu dibangunkan.
Masalahnya muncul di sini: thread yang benar-benar mengantri sedang tertidur, yang berdiri di depan jendela untuk menghapus nomor, sebenarnya adalah "orang yang mewakili".
Fungsi pembersihan masih berpikiran kolot, menghapus catatan "si wakil", tetapi tidak menyentuh thread yang benar-benar mengantri dan benar-benar tertidur itu.
Masalahnya, thread yang tertidur itu masih memegang secarik kertas bertuliskan "informasi antrian saya ada di sini", kertas ini menunjuk ke sepotong kecil memori sementara miliknya sendiri (yaitu "stack", jenis memori yang akan dikembalikan setelah thread selesai menggunakannya).
Setelah bangun tidur dan kembali dari system call, memori ini segera dikembalikan, diambil alih oleh data lain. Tapi secarik kertas itu masih ada, masih menunjuk ke memori yang telah berpindah tangan ini.
Inilah yang disebut dangling pointer: sebuah pointer yang masih dipercaya, tetapi telah menunjuk ke memori yang "telah dibuang dan ditempati orang lain". Akar dari kerentanan use-after-free ada di sini.

Diagram skema exploit chain GhostLock: Tiga thread (waiter, owner, consumer) membuat deadlock cycle, memicu rollback -EDEADLK, meninggalkan dangling pointer; kemudian penyerang memalsukan struktur kernel, mencapai controlled write, akhirnya membajak control flow untuk mendapatkan root. (Sumber: Nebula Security)
Lebih ironisnya, mekanisme pemeriksaan keamanan kernel sendiri, lockdep, sama sekali tidak menangkapnya.
Alasannya sederhana: lockdep hanya memeriksa "apakah ada yang memegang lock ini", tetapi tidak memeriksa "apakah lock ini milik thread yang seharusnya Anda bersihkan".
Lock-nya benar, orangnya salah, pemeriksaan pun lolos.
Hanya satu kesalahan asumsi yang berusia belasan tahun ini, diperbesar langkah demi langkah, akhirnya berubah menjadi kendali penuh atas seluruh mesin.
Setelah penyerang mendapatkan dangling pointer itu, mereka dapat menyuntikkan data palsu ke memori yang telah dibebaskan yang ditunjuknya, menipu kernel agar membacanya sebagai struktur yang sah, sehingga mencapai controlled write, kemudian membajak tabel fungsi kernel, dan akhirnya mendapatkan root.
Meskipun kali ini alat bantu AI membantu peneliti manusia menemukan sudut mati yang telah tertidur selama 15 tahun ini, ia mengungkapkan realitas yang mengejutkan:
Masalah yang dulu hanya mungkin ditemukan oleh ahli puncak dengan membaca kode baris demi baris dan mengandalkan intuisi, kini mulai diungkap secara massal oleh alat otomatisasi.
Tepat pada 2026, serangkaian kerentanan privilege escalation Linux terungkap satu per satu, dan beberapa di antaranya ditemukan oleh alat otomatisasi.
Mereka hampir semua bersembunyi di sudut kernel tertua, paling banyak digunakan, namun bertahun-tahun tidak pernah dibaca ulang, tetap aman tanpa insiden.
AI Mengubah Salah Ketik Menjadi Pengejaran Nasional
Kembali ke momen menegangkan Feder di tempat parkir di awal cerita.
Setelahnya, barulah dia menyusun penyebab dan akibat kejadian tersebut. Plat nomor yang benar-benar dilaporkan hilang adalah 34 03 DTM, tetapi saat dimasukkan ke database nasional kendaraan curian (NCIC), angka kecil "03" di tengah itu terlewat, hanya tercatat sebagai 34 DTM.
Hanya karena hilangnya dua angka, semuanya menjadi salah arah.
Sedangkan plat nomor mobil uji Feder ini adalah 34 10 DTM. Karena format plat nomor produsen New Jersey yang khusus, angka di tengah berukuran font sangat kecil, kamera AI Flock sama sekali tidak membaca angka kecil itu, hanya mengenali "34 DTM", dan mulai memberi peringatan ke semua kantor polisi di sepanjang jalan.

Tangkapan layar kamera Flock yang ditunjukkan polisi, plat nomor terbaca sebagai 34 10 DTM, angka "10" di tengah berukuran sangat kecil. Sistem hanya mengenali "34 DTM" lalu memicu alarm. (Sumber: Joel Feder / The Drive)
Kamera Flock memindai sekitar 20 miliar plat nomor per bulan.
Satu kesalahan ketik yang terjadi di Los Angeles, dengan demikian diperbesar secara berantai oleh jaringan pengenalan otomatis yang menjangkau seluruh negeri, dari California menyebar ke Minnesota, akhirnya berubah menjadi empat mobil polisi, satu drone, serta satu jam konfrontasi tegang. Polisi sepanjang waktu dengan tangan di sarung pistol, tetapi tidak pernah benar-benar menghunus.
Yang lebih parah, polisi memberi tahu Feder bahwa minggu itu di Minnesota ada empat mobil lain dengan format plat nomor produsen yang sama juga sedang dilacak, dia hanya yang pertama berhasil dikejar polisi.
Saat pergi, polisi meninggalkan satu kalimat: "Anda beruntung, ini terjadi di Plymouth. Kalau di Minneapolis, mereka pasti sudah menghunus senjata dan menyerbu."
"Manusia bisa melakukan kesalahan, itu normal," kata Feder kemudian, "tetapi itu diperbesar oleh sistem pengawasan nasional."
Dia juga menulis, kamera di lampu lalu lintas sedang melacak mobil kita, perangkat kita, hewan peliharaan kita, bahkan diri kita sendiri, dan ini baru permulaan, langkah berikutnya mereka mungkin dipasang di bus sekolah anak-anak.
Apakah Anda mencuri mobil atau tidak tidak penting, sekali sistem ini mengincar Anda, segala sesuatunya hanya akan bergerak ke satu arah.
Kata-kata Feder hampir menjadi catatan kaki untuk seluruh era keamanan AI.
Ia Bisa Lebih Cepat Mencari Kesalahan daripada Manusia, Juga Lebih Cepat Membuat Masalah
Melihat kedua peristiwa ini bersamaan, kontrasnya begitu kuat, membuat orang berpikir.
Di satu sisi, AI menemukan kerentanan yang tak terdeteksi manusia selama 15 tahun, membuat dunia lebih aman; di sisi lain, AI memperbesar satu kesalahan input, mendorong seorang yang tak bersalah berhadapan dengan empat mobil polisi.
Tetapi logika di baliknya sama, perbedaannya hanya pada apa inputnya.
Dalam kisah GhostLock, AI membaca kode kernel yang nyata, ia menggali masalah yang sebenarnya; sedangkan dalam kisah Flock ini, input yang diterima AI itu sendiri salah, maka ia dengan setia menjalankan kesalahan tersebut, dan lebih cepat, lebih luas daripada polisi manusia mana pun.
Jadi tanggung jawab dalam peristiwa Flock ini, tidak bisa begitu saja disalahkan pada "AI melakukan kesalahan".
Input yang salah dimasukkan oleh manusia, proses verifikasi manual yang seharusnya ada dihilangkan oleh manusia, AI hanya menjalankan kelalaian dari kedua ujung ini, dengan kecepatan dan skala mesin, berlipat ganda.
Ia seperti tanda perkalian. Tanda perkalian itu sendiri tidak salah, tetapi angka di depannya sekali negatif, hasilnya akan menjadi buruk berlipat ganda.
Yang benar-benar mengkhawatirkan adalah, pengalaman Feder sedang terjadi diam-diam di semakin banyak bidang.
Kerentanan Terbesar Era AI, Mungkin Tidak Ada dalam Kode
Saat ini, AI sedang masuk ke dalam rantai pengambilan keputusan berisiko tinggi seperti keamanan, penegakan hukum, keuangan.
Ia memang bisa menemukan kerentanan yang terlewat oleh manusia, ini kemampuan nyata; tetapi ia juga akan memperbesar kesalahan manusia secara masif, ini risiko nyata.
Kedua hal ini adalah dua sisi dari koin yang sama.

Satu kamera pengenal plat nomor Flock terpasang di tiang di atas lampu lalu lintas persimpangan, balok hitam di belakangnya adalah panel surya. Perangkat semacam ini telah dipasang di ribuan komunitas di seluruh AS. (Sumber: Frank W. Lewis/Signal Cleveland)
Kisah GhostLock memberitahu kita bahwa AI telah memiliki potensi melampaui pemeriksaan baris demi baris oleh manusia, perburuan kerentanan di masa depan mungkin tidak lagi bergantung pada manusia membaca kode baris demi baris.
Sementara Flok sebaliknya: ia mengingatkan kita, checkpoint verifikasi manual dalam sistem kritis, satu pun tidak boleh dihilangkan.
Yang seharusnya ditanyakan bukanlah apakah AI akan melakukan kesalahan — tentu saja ia akan — tetapi apakah saat ia melakukan kesalahan, masih ada seseorang yang bisa menghentikannya tepat waktu.
Kerentanan terbesar era AI mungkin sudah tidak ada lagi dalam kode, melainkan pada saat kita menyerahkan hak penilaian akhir.
Referensi:
https://nebusec.ai/research/ionstack-part-2/
https://www.thedrive.com/news/how-flock-cameras-wrongly-tracked-me-for-days-over-stolen-plates-and-sent-police-after-me
https://www.untempled.com/guilhermen/art/ai-found-a-secret-computer-bug-hidden-for-15-years-plus-why-cops-chased-a-reporter-over-a-typo-cmrgwcw7o0001ky04qu4ubln8
Artikel ini berasal dari akun WeChat "新智元" (New Wisdom Era), penulis: ASI启示录 (Apocalypse ASI)






