Cloudflare Menguji Claude Mythos: AI yang Bisa Merangkai Bug Menjadi Eksploit Nyata

Kemampuan menghubungkan beberapa kerentanan menjadi rantai eksploit biasanya merupakan pekerjaan peneliti keamanan berpengalaman—bukan sekadar alat pemindai otomatis.

Otomatis Membuat Proof‑of‑Concept (PoC)

Temuan penting lainnya adalah kemampuan Mythos untuk membuat exploit proof‑of‑concept secara otomatis.

Menurut pengamatan Cloudflare, model ini dapat:

• Menulis kode untuk memicu kerentanan
• Mengompilasi dan menjalankan kode tersebut di lingkungan uji
• Menganalisis output atau kegagalan
• Menyesuaikan pendekatan dan mencoba lagi

Proses iteratif ini memungkinkan model berpindah dari tahap menemukan bug ke membuktikan eksploitasi secara praktis, dengan sedikit campur tangan manusia.

Bagi tim keamanan, pembuatan PoC biasanya merupakan tahap penting untuk memastikan apakah suatu bug benar‑benar bisa dieksploitasi. Jika proses ini bisa diotomatisasi, waktu yang dibutuhkan untuk memverifikasi dan memprioritaskan kerentanan bisa berkurang drastis.

Bukti Kemampuan Analisis Eksploit yang Lebih Lanjut

Dokumentasi Anthropic mengenai Mythos Preview juga menyebutkan kemampuan tambahan yang terlihat dalam pengujian internal, seperti:

• Menemukan kerentanan zero‑day di proyek open‑source nyata
• Reverse‑engineering teknik eksploit pada perangkat lunak closed‑source
• Mengubah kerentanan N‑day (bug yang sudah diketahui tetapi belum ditambal luas) menjadi eksploit yang berfungsi

Ini menunjukkan bahwa model tersebut difokuskan pada analisis kerentanan dan penalaran eksploit yang terstruktur, bukan sekadar membantu menulis kode.

Keterbatasan: False Positive dan Perilaku Keamanan yang Tidak Konsisten

Meski kemampuannya mengesankan, pengujian Cloudflare juga menemukan sejumlah masalah.

False positive

Model terkadang melaporkan kerentanan yang sebenarnya tidak bisa dieksploitasi atau salah diklasifikasikan. Proyek yang ditulis dalam bahasa yang kurang aman terhadap memori seperti C atau C++ cenderung menghasilkan lebih banyak alarm palsu, sehingga verifikasi manual oleh manusia tetap diperlukan.

Penolakan yang tidak konsisten

Cloudflare juga melihat perilaku penolakan yang tidak merata. Dalam beberapa kasus, model mengidentifikasi jalur eksploit tetapi kemudian menolak untuk menyelesaikan demonstrasinya karena kontrol keamanan internal. Dalam kasus lain, model sempat melanjutkan proses lebih jauh sebelum akhirnya berhenti.

Hal ini menunjukkan betapa sulitnya menyeimbangkan kemampuan penelitian keamanan yang kuat dengan perlindungan terhadap penyalahgunaan.

Mengapa Temuan Ini Penting bagi Keamanan Siber

Eksperimen ini mengindikasikan perubahan besar dalam cara AI dapat memengaruhi penelitian kerentanan perangkat lunak.

Bagi tim pertahanan (defenders), model seperti Mythos berpotensi:

• Menemukan rantai kerentanan kompleks yang mungkin terlewat oleh pemindai tradisional
• Memvalidasi eksploitabilitas bug dengan cepat
• Membantu memprioritaskan patch untuk kerentanan paling berbahaya

Namun kemampuan yang sama juga membawa risiko. Jika model dapat otomatis berpindah dari menemukan bug ke menghasilkan kode eksploit, hambatan teknis untuk melakukan serangan siber canggih bisa menjadi jauh lebih rendah.

Cloudflare menyimpulkan bahwa mempercepat patch saja mungkin tidak cukup dalam era keamanan yang dipercepat oleh AI. Organisasi mungkin perlu merancang ulang pendekatan manajemen kerentanan dengan asumsi bahwa penyerang suatu hari akan memiliki kemampuan otomatis serupa.

Tantangan Teknologi “Dual‑Use”

Claude Mythos Preview menggambarkan dilema klasik teknologi dual‑use—teknologi yang bisa digunakan untuk tujuan baik maupun buruk.

• Dalam konteks pertahanan, AI ini membantu menemukan kerentanan sebelum penyerang melakukannya.
• Dalam konteks ofensif, kemampuan yang sama dapat mempercepat pengembangan eksploit.

Karena alasan inilah model Mythos belum dirilis secara publik. Saat ini aksesnya hanya diberikan kepada organisasi tertentu untuk pengujian keamanan melalui Project Glasswing.

Pengujian Cloudflare menunjukkan bahwa model AI mulai bergerak melampaui sekadar bantuan coding menuju penemuan kerentanan dan penalaran eksploit secara end‑to‑end—kemampuan yang berpotensi mengubah lanskap keamanan siber dalam beberapa tahun ke depan.