OpenHack: Cara Hadrian Mengubah AI Coding Agent Menjadi Auditor Keamanan Kode

Dengan pendekatan ini, pengembang atau tim keamanan bisa menjalankan proses review keamanan sebagai bagian dari workflow coding sehari‑hari, bukan hanya audit manual yang dilakukan sesekali.

Masalah pada Code Review LLM yang “Naif”

Model bahasa sebenarnya cukup baik dalam membaca kode, tetapi pendekatan sederhana sering menghasilkan hasil yang tidak dapat diandalkan.

Menurut Hadrian, beberapa masalah umum pada code review berbasis LLM adalah:

• False positive tinggi: pola kode yang sebenarnya aman sering ditandai sebagai bug.
• Hallucinated vulnerabilities: model mengarang kerentanan yang tidak ada.
• Analisis tidak konsisten karena perubahan kecil pada prompt atau konteks.

OpenHack mencoba mengurangi masalah ini dengan mengganti prompt terbuka dengan metodologi investigasi yang terstruktur.

Analisis Berbasis Skenario Serangan

Salah satu ide inti OpenHack adalah scenario‑based scoping.

Daripada meminta AI mencari semua kemungkinan bug, workflow diarahkan untuk menyelidiki kelas serangan tertentu atau jalur eksploitasi tertentu.

Contohnya, model dapat diarahkan untuk:

• menelusuri bagaimana input pengguna mengalir melalui aplikasi
• mencari peluang Local File Inclusion (LFI)
• memeriksa penyimpanan kredensial atau konfigurasi cloud

Dengan fokus yang lebih sempit, model memiliki tujuan yang jelas sehingga kualitas penalarannya meningkat dan hasil yang tidak relevan dapat berkurang.

Triase Independen untuk Mengurangi False Positive

Fitur penting lain dalam workflow OpenHack adalah memisahkan proses penemuan dan validasi.

Dalam satu proses audit OpenHack biasanya terjadi langkah berikut:

1. Satu agen AI menemukan potensi kerentanan.
2. Agen atau tahap lain melakukan triase dan verifikasi.
3. Bukti dianalisis sebelum temuan dianggap valid.

Pemisahan ini mendorong model untuk mengumpulkan bukti konkret seperti jalur kode, rantai eksploitasi, atau konfigurasi sistem sebelum melaporkan bug sebagai kerentanan nyata.

Pengujian pada Audit Aplikasi Pemerintah Belanda

Hadrian melaporkan bahwa metodologi serupa digunakan untuk mengaudit sejumlah aplikasi open‑source yang dipakai oleh instansi pemerintah Belanda.

Menurut perusahaan tersebut, analisis berbantuan AI berhasil menemukan ratusan masalah keamanan hanya dalam beberapa jam.

Salah satu contoh kasus yang disorot melibatkan:

• kerentanan Local File Inclusion (LFI) tanpa autentikasi
• paparan kredensial Azure
• jalur potensial menuju remote code execution di lingkungan Azure

Namun penting dicatat bahwa laporan tersebut berasal dari vendor sendiri, sehingga klaim efektivitasnya masih perlu verifikasi independen.

Mengapa OpenHack Dibuka sebagai Open‑Source

Hadrian merilis OpenHack di GitHub dengan lisensi MIT, lengkap dengan dokumentasi, prompt, alat CLI, dan dukungan untuk Python 3.9 ke atas.

Menurut perusahaan tersebut, tujuannya adalah “menyamakan permainan” bagi para defender. Jika kemampuan menemukan kerentanan dengan AI hanya tersedia secara tertutup, penyerang berpotensi memperoleh keuntungan lebih besar dibanding tim keamanan.

Dengan merilis workflow ini secara terbuka, Hadrian berharap pengembang dan tim keamanan dapat menggunakan LLM yang tersedia secara luas untuk menganalisis kode mereka sendiri secara lebih efektif.

Tren Besar: Audit Keamanan Berbasis AI

OpenHack mencerminkan tren yang semakin berkembang dalam dunia keamanan perangkat lunak: penggunaan AI agent untuk menjelajahi codebase dalam skala besar.

Asisten coding modern dan IDE berbasis AI sudah mampu:

• memahami struktur repository
• menganalisis arsitektur sistem
• menjalankan tugas pengembangan secara otomatis

Workflow seperti OpenHack mencoba mengarahkan kemampuan tersebut ke arah keamanan defensif, dengan menekankan analisis terfokus, pengumpulan bukti, dan verifikasi independen.

Jika penggunaan LLM dalam lingkungan pengembangan terus meningkat, pendekatan terstruktur seperti ini kemungkinan akan menjadi kunci agar AI‑based security review dapat dipercaya dalam praktik nyata.