Richard Ford dari Integrity360 membahas kegelisahan yang disebabkan oleh model AI keamanan siber canggih Anthropic, dan bagaimana tim siber dapat bersiap menghadapi teknologi tersebut.
Sejak Anthropic pertama kali mengungkap Claude Mythos pada bulan April, wacana seputar model AI keamanan siber terus berlanjut.
Klaim Anthropic bahwa Mythos tampaknya memiliki kemampuan canggih dalam menemukan dan mengeksploitasi kerentanan keamanan perangkat lunak menyebabkan keributan di sektor publik dan swasta di seluruh dunia – termasuk di Irlandia.
“Masalahnya bukanlah Anthropic yang menciptakan hal ini. Masalahnya adalah Anthropic telah menunjukkan bahwa hal ini mungkin terjadi,” kata Richard Browne, direktur Pusat Keamanan Siber Nasional, ketika berbicara kepada Komite Gabungan Kecerdasan Buatan Oireachtas tak lama setelah Mythos terungkap.
Mythos belum dirilis ke masyarakat umum, meskipun Anthropic telah memberikan akses ke sejumlah perusahaan, bank, dan otoritas – yaitu, sebelum perintah pemerintah AS baru-baru ini mengakibatkan perusahaan tersebut menonaktifkan model tersebut untuk semua penggunanya.
Namun ketika institusi dan pemerintah panik atas kemampuan model AI baru ini, CTO Integrity360 Richard Ford mengatakan bahwa Mythos harus didekati dengan “pengawasan yang terukur, bukan hype”.
“Berdasarkan informasi yang tersedia sejauh ini, model tersebut tampaknya mampu sebagai alat serangan otonom, namun tidak ada bukti jelas bahwa model tersebut secara signifikan mengungguli model bahasa besar yang ada di bidang ini,” katanya kepada SiliconRepublic.com.
“Yang lebih penting adalah bagaimana hal itu dapat digunakan. Di tangan pelaku ancaman, Mythos tidak perlu menjadi revolusioner untuk menjadi berbahaya.
“Ini masih akan sangat efektif ketika menargetkan organisasi dengan postur keamanan yang lemah, terutama mereka yang tidak memiliki kontrol akses yang kuat, disiplin dan visibilitas yang buruk di seluruh lingkungan mereka.”
Hype dan gangguan
Ford mengatakan bahwa sebagian besar hal yang mendorong hype dan kekhawatiran seputar Mythos berasal dari hasil yang dilaporkan sendiri, dengan validasi independen yang terbatas.
Hal ini membuat sulit untuk memisahkan kemajuan teknis yang asli dari narasi, katanya.
“Ada pertanyaan yang sah mengenai apakah kemampuan tersebut dilebih-lebihkan atau hanya disajikan tanpa konteks yang cukup.
“Klaim awal mengenai penemuan kerentanan dalam skala besar terdengar signifikan, namun tanpa tolok ukur atau reproduktifitas eksternal, sulit untuk menilai seberapa bermakna temuan tersebut dalam praktiknya.”
Ford menambahkan bahwa mengingat kesulitan Anthropic sebelumnya dengan pemerintah AS, para skeptis dapat mempertanyakan apakah pengumuman Mythos “sebagian tentang membentuk persepsi dan juga menunjukkan kemampuan”.
Namun bagaimana jika kecanggihan Mythos sama pentingnya dengan klaim Anthropic?
“Jika klaim tersebut benar, ada pandangan yang jelas bahwa model seperti Mythos dapat mulai mengganggu bidang-bidang seperti program bug bounty dan pasar peretasan etis yang lebih luas,” kata Ford. “Kekhawatirannya bukan pada hilangnya kemampuan peneliti manusia dalam sekejap, namun AI dapat mempercepat penemuan kerentanan secara signifikan, sehingga mengubah keseimbangan dalam hal kecepatan, skala, dan biaya.
“Kami sudah melihat indikator awal dari tren ini. Platform yang digerakkan oleh AI memiliki kinerja yang kuat dalam lingkungan CTF yang kompetitif, di mana analisis cepat, pengenalan pola, dan otomatisasi memberikan keuntungan yang jelas.
“Hal ini menimbulkan pertanyaan tentang bagaimana ekosistem bug bounty tradisional berevolusi, terutama jika AI dapat mengidentifikasi masalah lebih cepat daripada peneliti manusia atau menjadikan bagian dari proses tersebut sebagai komoditas.”
Bagaimana organisasi dapat mempersiapkan diri?
Meskipun Mythos belum sepenuhnya dirilis ke publik – dan saat ini dinonaktifkan pada minggu lalu – Ford memiliki beberapa saran untuk tim keamanan siber mengenai ketersediaan luas model AI seperti Mythos.
“Tim keamanan siber harus memperlakukan model seperti Mythos sebagai percepatan dari ancaman yang ada, dan bukan sesuatu yang benar-benar baru,” katanya. “Prioritasnya adalah memperbaiki fundamentalnya, karena AI akan mengeksploitasi kelemahan dengan lebih cepat, bukan dengan cara yang berbeda.
“Kontrol identitas yang kuat, patching yang konsisten, dan visibilitas aset secara penuh tetap penting. Organisasi yang tidak memiliki dasar-dasar ini akan menjadi target termudah untuk serangan yang dibantu oleh AI. Singkatnya, semakin baik fundamental Anda, semakin tangguh pula Anda ketika ancaman yang didorong oleh AI menjadi hal yang umum.”
Ford mengatakan organisasi harus menghindari reaksi panik terhadap Mythos, namun juga harus mempertimbangkan implikasinya dengan serius.
“Arahnya sudah jelas: AI sudah tertanam dalam serangan dan pertahanan,” katanya.
Ia yakin organisasi mana pun yang tidak membangun pertahanan siber berbasis AI akan tertinggal dan “langsung menjadi sasaran para penyerang”.
“Hal ini tidak berarti mengejar sensasi, namun hal ini berarti berinvestasi pada kemampuan yang meningkatkan kecepatan, skala, dan pengambilan keputusan dalam deteksi dan respons,” jelasnya.
“Pada saat yang sama, hal ini hanya akan berhasil jika fundamentalnya sudah siap. Organisasi yang akan berhasil adalah organisasi yang menggabungkan kontrol inti yang solid dengan otomatisasi yang cerdas, sehingga memungkinkan mereka untuk mengimbangi lanskap ancaman yang terus meningkat.”
Pengungkapan Mythos tidak diragukan lagi telah mengguncangkan hubungan dengan AI dan posisinya dalam keamanan siber.
Meski banyak pihak yang mengkhawatirkan dampak dari kemampuan Mythos dalam mengeksploitasi dunia maya, Ford yakin bahwa dampak jangka panjang yang paling signifikan dari teknologi AI adalah “pergeseran struktural” dalam hal seberapa cepat dan murah serangan siber dapat dilakukan – dan bukan hanya sekedar terobosan kemampuan.
“Jika model seperti Mythos matang seperti yang disarankan, mereka akan mempersingkat waktu antara mengidentifikasi paparan dan mengeksploitasinya,” katanya. “Tugas-tugas yang dulunya memerlukan peneliti terampil dan investasi waktu, seperti pengintaian, penemuan kerentanan, dan eksploitasi awal, akan menjadi semakin otomatis dan terukur.
“Hal ini mengubah sisi ekonomi dari serangan siber, memungkinkan pelaku ancaman untuk beroperasi pada volume yang lebih tinggi dan efisiensi yang lebih besar. Semua ini tentu saja tergantung pada apakah Mythos memang hanya sekedar hype atau real deal.”