Pernahkah terbayang sebuah teknologi yang mampu mengidentifikasi celah keamanan dalam kode program bahkan sebelum para peretas menyadarinya? Kini, kecerdasan buatan (AI) mewujudkannya. Penelitian terbaru dari UC Berkeley menunjukkan bahwa model AI modern tidak hanya piawai dalam menulis kode, tetapi juga semakin unggul dalam mendeteksi kerentanan perangkat lunak.
AI Ungkap 15 Kerentanan Zero-Day Baru, Mengejutkan!
Tim peneliti yang dipimpin oleh Profesor Dawn Song menguji kemampuan beberapa model AI frontier terkemuka, termasuk dari OpenAI, Google, dan Anthropic, serta solusi open-source seperti Qwen2.5 dari Alibaba. Mereka menggunakan benchmark inovatif bernama CyberGym untuk menganalisis 188 basis kode open-source. Hasilnya? AI berhasil mengidentifikasi 17 bug, dan yang mengejutkan, 15 di antaranya adalah kerentanan “zero-day” yang sebelumnya tidak diketahui.
“Banyak dari kerentanan ini bersifat kritis,” ungkap Song. Yang lebih mencengangkan, tim menyatakan bahwa ini hanyalah permulaan. “Kami bahkan tidak berusaha terlalu keras. Jika anggaran ditingkatkan dan agen dijalankan lebih lama, hasilnya bisa lebih baik lagi,” tambahnya.
Era Baru Keamanan Siber dengan Otomatisasi AI
Kemampuan AI dalam menemukan bug kini bukan lagi sekadar teori. Startup seperti Xbow telah membuktikannya dengan menduduki posisi teratas di papan peringkat HackerOne untuk perburuan bug, bahkan baru saja mengantongi pendanaan segar sebesar $75 juta.
Menurut Song, perpaduan antara kemampuan pemrograman AI yang terus meningkat dan daya nalar model-model terbaru secara signifikan mengubah lanskap keamanan siber. “Ini momen penting,” katanya. “AI benar-benar melampaui ekspektasi kami.”
Dua Sisi Mata Pisau: Peluang dan Ancaman AI dalam Keamanan
Di satu sisi, otomatisasi pencarian bug oleh AI bisa menjadi berkah bagi perusahaan yang berupaya mengamankan sistem mereka. Namun di sisi lain, teknologi canggih ini juga bisa menjadi senjata ampuh di tangan peretas. “Kami tidak perlu berusaha keras untuk menemukan kerentanan ini,” kata Song. “Bayangkan apa yang bisa dilakukan oleh aktor jahat dengan sumber daya lebih besar.”
Tim UC Berkeley menggunakan beberapa agen khusus seperti OpenHands, Cybench, dan EnIGMA yang didukung oleh model AI mutakhir. Mereka memberikan deskripsi kerentanan yang sudah diketahui kepada agen-agen ini, lalu meminta mereka mencari celah serupa dalam basis kode baru. Hasilnya, AI menghasilkan ratusan eksploit konsep, dengan 15 di antaranya adalah kerentanan zero-day yang benar-benar baru.
AI vs. Pemburu Bug Manusia: Siapa yang Unggul?
Meskipun hasilnya mengesankan, AI masih jauh dari sempurna. Sistem ini gagal menemukan sebagian besar kerentanan dan benar-benar kesulitan menghadapi bug yang kompleks. Katie Moussouris dari Luta Security menyatakan, kombinasi terbaik (Claude dan OpenHands) hanya mampu menemukan sekitar 2% kerentanan. “Jangan ganti pemburu bug manusia Anda dulu,” candanya.
Brendan Dolan-Gavitt dari NYU dan Xbow memprediksi AI akan meningkatkan serangan menggunakan eksploit zero-day. “Saat ini serangan semacam itu jarang, karena hanya sedikit yang punya keahlian menemukan kerentanan baru dan membuat eksploitnya,” jelasnya. “AI akan mengubah itu.”
Di tengah perkembangan ini, Song dan peneliti lain telah mendirikan AI Frontiers CyberSecurity Observatory untuk memantau kemampuan berbagai model dan alat AI melalui beberapa benchmark. “Di antara semua domain risiko AI, keamanan siber akan menjadi salah satu yang pertama menjadi masalah besar,” tegas Song.
Bagaimana menurut Anda? Apakah manfaat AI dalam pengujian keamanan perangkat lunak sepadan dengan risikonya? Bagikan pemikiran Anda di kolom komentar!
