AI Mulai Menemukan Kerentanan Sendiri! Proyek Glasswing Anthropic Diperluas ke 15 Negara, Claude Mythos Menemukan Lebih dari 10.000 Kerentanan 0-Day dalam Sebulan

Pukul 23.00, di sebuah perusahaan yang membuat peralatan jaringan di Hsinchu, insinyur keamanan sibuk memantau laporan pemindaian di depan komputer. Alat analisis statis yang digunakannya telah berjalan sepanjang hari, menandai beberapa dozen "tempat yang mungkin bermasalah", sebagian besar di antaranya adalah laporan palsu. Ia menggosok matanya, berpikir: "Bagaimana jika ada sesuatu yang bisa langsung membantu saya menemukan kerentanan yang sebenarnya akan diserang, itu akan sangat baik."

"Sesuatu" itu, Anthropic mengatakan telah menciptakannya. Pada 2 Juni 2026, Anthropic mengumumkan perluasan besar-besaran proyek keamanan mereka, Project Glasswing, dengan menambahkan sekitar 150 organisasi dan meliputi lebih dari 15 negara, menggunakan model yang belum dipublikasikan secara terbuka, Claude Mythos, untuk secara aktif menemukan kerentanan dalam kode infrastruktur kritis. Yang penting, tidak hanya "menemukan", tetapi juga dapat menulis program serangan yang dapat dioperasikan untuk verifikasi. AI mulai menemukan kerentanan sendiri, dan hal ini sedang bergerak dari laboratorium ke dunia nyata.

Latar Belakang

Project Glasswing tidak muncul begitu saja. Intinya adalah Claude Mythos, model terkuat Anthropic yang dirancang khusus untuk "menemukan kerentanan keamanan dalam kode". Karena kemampuan ini adalah senjata berbahaya (menemukan kerentanan berarti dapat menyerang), Anthropic memilih untuk tidak mempublikasikan Mythos secara terbuka, hanya membuka akses untuk anggota aliansi keamanan.

Sebelum perluasan ini, aliansi awal Glasswing telah melibatkan lebih dari 50 organisasi teknologi, termasuk Microsoft, Apple, Google, dan Cloudflare. Hasilnya sangat mengesankan: dalam sebulan, Mythos Preview secara otomatis menemukan lebih dari 10.000 kerentanan tingkat tinggi dan kritis 0-Day; Mozilla menggunakan alat ini untuk memperbaiki 271 kerentanan dalam Firefox 150, jumlah temuan yang jauh lebih banyak daripada yang ditemukan oleh Claude Opus sebelumnya; bahkan menemukan kerentanan kritis dalam perpustakaan fungsionalitas enkripsi wolfSSL (CVE-2026-5194) dan berhasil membuat verifikasi serangan yang dapat dipalsukan. Institut Keamanan AI Inggris juga menyatakan bahwa Mythos adalah model pertama yang dapat menyelesaikan simulasi serangan jaringan multi-langkah mereka secara lengkap.

Poin Utama

• Perluasan Skala Besar: Pada 2 Juni, Glasswing diperluas ke sekitar 150 organisasi baru dan lebih dari 15 negara, mencakup Australia, Kanada, Prancis, Jerman, Italia, Swiss, Belanda, Spanyol, Belgia, Swedia, India, Jepang, Selandia Baru, dan Korea Selatan.
• Daftar Mitra yang Kuat: Menambahkan Okta, Samsung, SK Hynix, SK Telecom, serta organisasi pemerintah dan pertahanan seperti NATO dan ENISA.
• Fokus pada Infrastruktur Kritis: Target utama adalah industri listrik, air, kesehatan, komunikasi, dan perangkat keras. Menurut Anthropic, mitra-mitra ini memiliki kesamaan dalam hal bahwa "jika diserang dengan sukses, konsekuensinya bisa sangat parah", dan dalam banyak kasus, serangan besar "dapat mempengaruhi lebih dari 100 juta orang".
• Kemampuan yang Mengesankan tetapi Dikendalikan: Mythos dapat menemukan lebih dari 10.000 kerentanan dalam beberapa minggu dan bahkan menghasilkan eksploitasi yang dapat dioperasikan, tetapi karena terlalu berbahaya, Anthropic tidak mempublikasikan secara terbuka dan hanya membuka akses untuk aliansi keamanan.

Analisis Dampak Pasar

Pengguna di Taiwan: Secara umum, orang tidak akan langsung menggunakan Mythos, tetapi Anda akan merasakan manfaatnya secara tidak langsung. Browser, sistem operasi, dan komunikasi enkripsi yang Anda gunakan sehari-hari memiliki kerentanan yang ditemukan dan diperbaiki oleh AI sebelumnya, yang berarti Anda memiliki fewer celah keamanan yang dapat diserang. Contohnya, Firefox memperbaiki 271 kerentanan sekaligus. Namun, jangan lengah - AI dapat menemukan kerentanan, dan pelaku kejahatan juga akan menggunakan teknologi serupa untuk menemukan kerentanan, sehingga penting untuk tetap melakukan tugas-tugas keamanan dasar seperti memperbarui perangkat lunak, menggunakan autentikasi dua faktor, dan berhati-hati saat mengklik tautan. Untuk membedakan informasi yang benar dan palsu serta mencegah penipuan, Anda juga dapat menggunakan alat seperti Whoscall sebagai tambahan.

Aplikasi Perusahaan: Ini adalah bagian yang paling relevan bagi perusahaan di Taiwan. Dengan banyak perusahaan yang bergerak dalam bidang perangkat keras, semikonduktor, dan jaringan, bergabungnya SK Hynix dan Samsung ke aliansi ini berarti bahwa kompetitor dalam industri yang sama telah menggunakan "AI untuk menemukan kerentanan" sebagai bagian dari strategi keamanan mereka. Bagi perusahaan Taiwan, ini adalah sinyal yang jelas: melakukan tes penetrasi sekali setahun mungkin tidak cukup lagi. Dalam jangka pendek, tidak semua perusahaan dapat bergabung dengan aliansi tingkat atas ini, tetapi setidaknya mereka harus mulai mengevaluasi dan memasukkan penggunaan AI dalam proses pemeriksaan keamanan. Sebelum mengadopsi, pertimbangkan bagaimana mengontrol dan mengevaluasi risiko, dan Anda dapat merujuk pada Evaluasi dan Pengamanan Sebelum Menggunakan Agen AI.

Pengembang: Bagi mereka yang menulis kode, ini adalah kabar baik dan juga tekanan. Kabar baiknya adalah bahwa kemampuan AI untuk menemukan kerentanan akan perlahan-lahan tersedia dalam alat pengembangan umum, sehingga di masa depan, saat menggunakan GitHub Copilot, Cursor, atau Claude untuk menulis kode, Anda mungkin dapat langsung mendapatkan saran keamanan yang lebih mendalam. Tekanan itu adalah bahwa "kode yang dapat berjalan saja" tidak cukup lagi - ketika AI dapat menemukan kerentanan dalam kode Anda, menulis kode yang aman akan menjadi persyaratan dasar, bukan hanya poin tambahan. Untuk memahami bagaimana AI mengubah medan perang pengembangan kode, Anda dapat membaca Claude Memimpin, Microsoft dan Google Mengikuti: Analisis Persaingan Pengembangan Kode AI Tengah 2026.

Tren Pengembangan Masa Depan

Pertama, perang keamanan siber memasuki era AI vs AI. Pihak keamanan menggunakan AI untuk menemukan dan memperbaiki kerentanan, sementara pihak penyerang juga akan menggunakan AI untuk menemukan dan menyerang, sehingga kecepatan dan skala akan ditingkatkan ke level baru.

Kedua, "apakah model yang cukup kuat seharusnya dipublikasikan" akan menjadi topik perdebatan utama. Anthropic memutuskan untuk tidak mempublikasikan Mythos secara terbuka dan hanya membuka akses untuk aliansi keamanan, yang menimbulkan pertanyaan tentang bagaimana mengatur model-model kuat seperti ini di masa depan.

Ketiga, infrastruktur kritis akan diprioritaskan untuk dilindungi, tetapi perusahaan kecil dan menengah mungkin akan tertinggal. Sumber daya aliansi tingkat atas akan terfokus pada target seperti listrik, kesehatan, dan komunikasi yang dapat mempengaruhi jutaan orang jika diserang, sementara perusahaan kecil dan menengah mungkin perlu menunggu sampai kemampuan ini tersedia dalam alat yang lebih umum.

Ringkasan dan Komentar dari TheAI Akademi

Yang paling membuat saya terkesan dari berita ini bukanlah angka "10.000 kerentanan" itu sendiri, melainkan keputusan Anthropic untuk tidak mempublikasikan Mythos. Model yang kuat enough untuk menulis program serangan secara otomatis, jika dipublikasikan secara terbuka, akan memiliki konsekuensi yang tidak terbayangkan. Keputusan untuk mengendalikan kemampuan ini dan hanya membuka akses untuk pihak keamanan saja merupakan sikap yang bijak.

Saran khusus untuk pembaca di Taiwan: jika Anda adalah petugas IT atau keamanan perusahaan, sekaranglah saatnya untuk memasukkan "penggunaan AI dalam pemeriksaan keamanan" ke dalam daftar evaluasi tahun ini, jangan menunggu sampai industri lain telah mengadopsinya. Jika Anda adalah pengembang, mulai sekarang, anggap "keamanan" sebagai nilai default dalam penulisan kode, bukan hanya tugas tambahan sebelum peluncuran.