Chrome 149: 429 Bug Ditambal, dan AI Rp15 Juta yang Ungkap 21 Celah FFmpeg

Dari jumlah tersebut, 22 dinilai kritis, dan lebih dari 100 mencapai tingkat keparahan kritis atau tinggi . Yang paling berbahaya adalah CVE-2026-10881, kelemahan baca dan tulis di luar batas (out-of-bounds) pada lapisan grafis ANGLE, yang mendapatkan skor CVSS 9,6 dan dapat memungkinkan lolos dari sandbox melalui halaman HTML yang dibuat khusus . Sebagian besar bug kritis adalah masalah use-after-free, sebuah masalah keamanan memori yang berulang di peramban .

Insinyur Google mendeteksi sekitar 371 kelemahan secara internal; peneliti independen melaporkan sisanya, dan perusahaan membayar $209.000 (sekitar Rp3,1 miliar) dalam bentuk bug bounty . SecurityWeek mencatat bahwa lonjakan kelemahan Chrome kemungkinan didorong oleh peningkatan penggunaan AI dalam perburuan kerentanan, sebuah pergeseran yang menyebabkan Google menurunkan pembayaran bug bounty Chrome-nya pada April 2026 .

Tidak satu pun dari kerentanan ini yang diketahui telah dieksploitasi secara aktif pada saat pengungkapan, menurut Google . Namun, skala besar patch ini menggarisbawahi pertanyaan operasional yang serius: mampukah bahkan tim teknik dengan sumber daya terbaik mengimbangi ketika penemuan berbasis AI membanjiri pelacak bug mereka?

21 Zero-Day di FFmpeg Hanya dengan Rp15 Juta

Tepat saat Chrome 149 mendarat, startup keamanan depthfirst menerbitkan hasil dari agen AI produksinya yang dijalankan terhadap FFmpeg, pustaka multimedia sumber terbuka yang mendasari pemrosesan video di banyak aplikasi dan perangkat .

Agen itu memindai sekitar 1,5 juta baris kode C dan mengembalikan 21 kerentanan zero-day yang sebelumnya tidak diketahui—bug yang belum pernah diungkapkan secara publik, dan dalam beberapa kasus tidak terdeteksi selama 15 hingga 20 tahun . Mayoritasnya adalah masalah heap dan stack overflow di berbagai komponen, mulai dari demuxer TS hingga decoder VP9 .

Yang krusial, sistem depthfirst melakukan lebih dari sekadar menandai kode yang mencurigakan. Sistem itu menghasilkan input proof-of-concept yang konkret dan dapat direproduksi untuk setiap bug, mengonfirmasi temuannya . Total biaya komputasi untuk satu kali proses: sekitar $1.000 (sekitar Rp15 juta) .

Sebagai perbandingan, model Mythos dari Anthropic sebelumnya telah mengekstraksi kelemahan H.264 berusia 16 tahun dari FFmpeg dengan biaya sekitar $10.000 (sekitar Rp150 juta) . Depthfirst menggambarkan hasilnya sebagai pencapaian yang sebanding dengan sepersepuluh biaya . Implikasinya sangat jelas: penemuan zero-day yang canggih, yang tadinya merupakan domain laboratorium penelitian yang didanai besar dan aktor negara-bangsa, kini mendekati biaya tagihan komputasi awan yang dapat dibayar siapa pun.

Tren Lebih Luas: Penemuan Melampaui Perbaikan

Cerita Chrome dan FFmpeg bukanlah kejadian terisolasi. Mereka berada di dalam pola yang lebih besar yang telah dipercepat sepanjang 2025 dan 2026.

Volume Penemuan Meledak

Agen Big Sleep dari Project Zero Google menemukan zero-day pertama yang diproduksi dan ditemukan AI secara publik—sebuah stack buffer underflow di SQLite—pada November 2024 . Sejak itu, ritmenya semakin cepat. Analisis statis berbantuan AI dari ZeroPath menemukan tujuh kelemahan FFmpeg pada akhir 2025 . Model Mythos dari Anthropic kemudian menemukan kerentanan di OpenBSD, FreeBSD, Linux, Firefox, dan pustaka kriptografi, banyak di antaranya telah hidup dalam kode selama 16 hingga 27 tahun . Pada April 2026, Mythos telah berhasil menulis eksploitasi 181 kali terhadap Firefox, peningkatan 90x lipat dari generasi model sebelumnya .

Patch Chrome 149 itu sendiri adalah cerminan langsung dari kecepatan baru ini. 429 perbaikan yang diumumkan pada Juni 2026 telah melampaui total patch keamanan Chrome yang dikirimkan sepanjang 2025, lapor SecurityWeek .

Perbaikan Adalah Hambatan

Menemukan bug itu cepat. Memperbaikinya masih merupakan proses manusia. Chrome 149 membuktikan bahwa bahkan Google, dengan sumber daya tekniknya yang sangat besar dan program manajemen kerentanan yang matang, dapat menghadapi antrian perbaikan yang sangat besar . Untuk pengelola sumber terbuka yang lebih kecil, situasinya lebih genting. Tim inti FFmpeg yang kecil sekarang harus memilah, memvalidasi, dan mengembangkan patch untuk kerentanan yang dikirimkan dalam jumlah besar oleh berbagai alat AI—tidak hanya depthfirst, tetapi juga Big Sleep milik Google, Mythos milik Anthropic, dan lainnya . Proyek FFmpeg sendiri telah menolak apa yang dianggapnya sebagai laporan bug berkualitas rendah yang dihasilkan AI, memberi label beberapa kiriman AI Google sebagai "CVE slop" ketika temuan itu melibatkan kode esoterik untuk video game berusia 30 tahun .

Ekonomi Menguntungkan Penyerang

Seorang pembela yang memiliki banyak sumber daya sekarang dapat menjalankan beberapa model AI terhadap basis kode miliknya sendiri sebelum mengirimkannya, dan banyak yang melakukannya. Tetapi ekonomi yang sama berlaku untuk siapa pun. Sebuah studi dari UIUC memperkirakan biaya eksploitasi dengan bantuan AI rata-rata adalah $8,80 (sekitar Rp130.000) per kerentanan menggunakan GPT-4, versus perkiraan $25 (sekitar Rp375.000) per kerentanan untuk peneliti manusia yang terampil . Operasi FFmpeg depthfirst seharga $1.000 (sekitar Rp15 juta) menurunkan biaya per zero-day menjadi sekitar $48 (sekitar Rp720.000)—dan peningkatan perangkat keras serta model selanjutnya kemungkinan akan menurunkannya lebih jauh .

Pembela masih menghadapi proses penambalan dan penerapan manual yang memakan waktu. Asimetri ini semakin tumbuh.

Yang Harus Dilakukan Organisasi Sekarang

Komoditisasi cepat penemuan kerentanan berbasis AI menuntut respons praktis, bukan kepanikan. Tim keamanan harus berasumsi bahwa aktor ancaman—baik negara maupun non-negara—sudah menjalankan model ini terhadap perangkat lunak yang diandalkan oleh organisasi mereka.

Langkah-langkah praktis termasuk menjalankan agen keamanan AI terhadap basis kode Anda sendiri terlebih dahulu, karena pertahanan terbaik adalah menemukan dan memperbaiki bug parah sebelum penyerang melakukannya. Mengurangi jeda penambalan juga sama kritisnya—jarak antara pengungkapan publik dan penerapan patch telah menjadi jendela paling berbahaya di era AI—jadi prioritaskan pemindaian rantai pasokan perangkat lunak Anda dan menerapkan pembaruan pada hari itu juga dirilis. Memperlakukan pengungkapan kerentanan sebagai masalah kelebihan beban juga penting: sebagian besar tim tidak memiliki kapasitas untuk memilah banjir laporan yang dihasilkan AI secara tiba-tiba, yang berarti membangun atau mengadopsi jalur validasi otomatis yang dapat menyaring sinyal dari derau akan segera menjadi prasyarat untuk mempertahankan perangkat lunak yang aman.

Pergeseran Permanen

Megapatch Chrome 149 dan kampanye FFmpeg depthfirst seharga Rp15 juta bukanlah penyimpangan. Itu adalah penunjuk jalan. Model AI sekarang menemukan bug yang bertahan dari tinjauan manusia selama puluhan tahun dan jutaan pengujian fuzz otomatis—dengan murah dan dalam skala besar. Seperti yang ditulis oleh catatan penelitian Cloud Security Alliance, bahkan model AI sub-frontier kini dapat menemukan zero-day .

Hambatannya bukan lagi penemuan. Melainkan segala sesuatu yang terjadi setelahnya. Sampai sisi perbaikan dari persamaan ini mengejar—melalui otomatisasi yang lebih baik, jalur penerapan yang lebih cepat, atau pendekatan arsitektur baru untuk keamanan perangkat lunak—setiap patch pemecah rekor dan setiap proses penemuan ultra-murah adalah peringatan yang tidak bisa diabaikan oleh industri ini.