Proyek Glasswing dari Anthropic sudah mengubah cara kita melihat penemuan kerentanan dalam software. Sekarang, tim software perlu serius memikirkan konsekuensi dari perubahan ini.
Proyek Glasswing adalah sebuah koalisi industri yang melibatkan perusahaan-perusahaan besar seperti Amazon, Apple, Google, Microsoft, dan Cisco. Semua ini dibangun di atas model AI paling canggih mereka, Claude Mythos Preview, dengan tujuan jelas: menemukan dan memperbaiki kerentanan kritis sebelum penyerang memanfaatkannya.
Dalam pengujian yang dilakukan oleh Anthropic, Mythos sudah memindai sistem operasi utama dan browser, serta menemukan kerentanan dengan skala dan kedalaman yang tidak bisa dijangkau oleh audit manual dan fuzzing.
Contohnya, sebuah bug dalam OpenBSD sudah ada dalam kode produksi selama 27 tahun. OpenBSD bukanlah kode yang jarang dilihat; sudah diaudit dan diuji oleh para peneliti kelas dunia berkali-kali dalam lebih dari dua dekade. Namun, Mythos berhasil menemukan bug yang bisa dieksploitasi tersebut. Jika ini bisa terjadi di sana, bisa saja terjadi di mana-mana, bukan?
Angka yang cukup mengkhawatirkan bagi tim keamanan adalah bahwa lebih dari 99% kerentanan yang ditemukan oleh Mythos belum diperbaiki.
A.I. Menghapus Jendela Patch
Model keamanan tradisional menganggap bahwa pihak pembela memiliki waktu untuk menemukan kerentanan, membuat patch, dan mendistribusikannya sebelum penyerang dapat mengeksploitasinya. Namun, penemuan kerentanan dengan bantuan AI mematahkan asumsi tersebut, karena AI menemukan kerentanan lebih cepat daripada tim pembela bisa mengandalkan perbaikan.
Temuan Mythos dalam satu usaha penelitian hanya butuh ribuan tahun kerja untuk diperbaiki dan divalidasi di setiap organisasi yang terkena dampak.
Tekanan terhadap pembela datang dari kedua arah. Kemampuan AI yang sama yang menonjolkan kerentanan juga dapat menghasilkan eksploitasi yang berfungsi terhadap kerentanan tersebut.
Penyerang yang mengakses model serupa akan tahu di mana letak celah dan memiliki alat untuk mengembangkan eksploitasi dengan cepat. Ini semakin mempersempit waktu dan meningkatkan risiko pada setiap kerentanan yang belum diperbaiki.
Seiring AI mempercepat penemuan kerentanan, tim akan lebih banyak menghabiskan waktu untuk memperbaiki masalah, yang bisa mengganggu roadmap produk dan jadwal pengiriman. Tim keamanan yang sudah bekerja dengan keras kini menghadapi antrian yang tidak akan terselesaikan dalam waktu dekat. Dan Anthropic sudah mengatakan secara jelas bahwa kemampuan ini hanya akan terus berkembang.
Mengapa Bug Keamanan Memori Menjadi Masalah Terbesar
Kerentanan terkait keamanan memori adalah bagian yang sangat berbahaya dalam gambaran ini. Mereka sering muncul di kode yang sudah lama dan dapat dieksploitasi dengan mudah. AI telah menunjukkan kemampuannya untuk menemukan bug-bug ini dan merangkai eksploitasi yang berfungsi.
Contoh yang sering muncul seperti buffer overflow, use-after-free errors, dan out-of-bounds writes, terlihat di berbagai kode yang digunakan dalam infrastruktur penting, sistem pertahanan, transportasi, dan lainnya.
Beberapa kerentanan yang diidentifikasi dalam pengumuman Mythos terkait dengan keamanan memori. Misalnya, Mythos Preview menemukan dan mengeksploitasi kerentanan remote code execution berumur 17 tahun dalam FreeBSD. Mythos juga menemukan cacat keamanan memori di kernel Linux dan aplikasi web terkemuka.
Patching Saja Tidak Cukup
Volume apa yang bisa ditemukan oleh alat AI sekarang mengubah cara kita melakukan patching sebagai pertahanan utama. Tidak ada tim keamanan yang bisa mengimbangi aliran kerentanan zero-day yang terus berlanjut di software kritis.
Organisasi yang paling siap menghadapi ini adalah mereka yang sudah menggeser pemikiran dari menghilangkan semua bug menjadi membangun ketahanan dalam software itu sendiri.
Dengan membangun software sedemikian rupa agar mengurangi kemungkinan dieksploitasi, meskipun masih ada bug yang tersisa, organisasi dapat mengurangi beban patching. Salah satu contohnya adalah perlindungan runtime yang mencegah eksploitasi dari beberapa bug bahkan sebelum patch tersedia.
Kerentanan hanya berarti bagi penyerang jika mereka bisa mengaksesnya dan membuat eksploitasi yang berfungsi. Memperkuat software di tingkat biner dapat mengecilkan kemungkinan ini, bukan dengan memperbaiki bug, tetapi dengan menarik dukungan yang diperlukan untuk mengubahnya menjadi kebocoran. Bug tetap ada, tetapi jalan untuk mengeksploitasinya menjadi sangat terbatas.
Apa yang Harus Dilakukan Sekarang
Tindakan praktis yang harus diambil adalah menerima bahwa backlog itu nyata dan bahwa patching saja tidak akan menyelesaikannya dalam waktu yang berguna. Audit kode lama untuk komponen yang tidak aman dan prioritaskan yang terpapar jaringan atau memproses data tidak terpercaya.
Terapkan penguatan biner dan perlindungan runtime untuk software yang tidak bisa ditulis ulang atau diganti dengan cepat. Bangun alur kerja perbaikan yang mengutamakan eksploitabilitas, bukan hanya skor keparahan.
Pergeseran yang lebih dalam adalah bagaimana organisasi memikirkan risiko. Sistem yang belum dipatch bukanlah sistem yang pasti akan dibobol, asalkan telah diperkuat di tingkat biner dan dilindungi dari apa yang bisa dilakukan penyerang dengan kerentanan tersebut. Sikap ini cocok dengan lingkungan saat ini.
Ketahanan dan perbaikan harus berjalan beriringan, dan organisasi yang memperlakukannya seperti itu akan lebih siap saat penemuan yang dibantu AI terus berkembang. Proyek Glasswing memberi pembela langkah awal. Organisasi yang bergerak sekarang untuk memperkuat apa yang belum bisa mereka patch akan berada di posisi yang lebih kuat saat akses tersebut meluas.
