Perkembangan artificial intelligence (AI) saat ini bergerak sangat cepat. Jika sebelumnya model AI hanya dikenal sebagai asisten penulisan kode atau alat bantu produktivitas, kini kemampuannya mulai meluas hingga ke ranah penelitian keamanan siber.
Baca Juga : Add-on Mozilla Jadi Target Phishing, Begini Cara Menghindarinya
Salah satu contohnya datang dari Claude Opus 4.6, model AI milik Anthropic. Dalam pengujian terbaru, model ini berhasil menemukan lebih dari 500 celah keamanan zero-day pada berbagai proyek open-source yang selama ini sudah diaudit secara ketat.
Yang paling menarik, dalam kolaborasi selama dua minggu dengan Mozilla pada Februari 2026, Claude berhasil menemukan 22 celah keamanan unik di browser Firefox. Dari jumlah tersebut, Mozilla mengklasifikasikan 14 di antaranya sebagai kerentanan dengan tingkat keparahan tinggi. Angka ini bahkan setara dengan hampir 20% dari total kerentanan high-severity Firefox yang diperbaiki sepanjang tahun sebelumnya.
Semua celah keamanan yang telah diverifikasi langsung ditangani dan diperbaiki melalui pembaruan Firefox versi 148.0, sehingga ratusan juta pengguna aktif harian tetap terlindungi.
Penemuan ini menunjukkan perubahan besar dalam pendekatan industri keamanan siber. Dengan bantuan AI, proses mendeteksi dan memperbaiki kerentanan dapat dilakukan jauh lebih cepat sebelum dimanfaatkan oleh pihak yang tidak bertanggung jawab.
AI Mulai Digunakan untuk Mendeteksi Celah Keamanan
Untuk menguji kemampuan model ini pada basis kode yang kompleks, para peneliti mengarahkan Claude Opus 4.6 untuk menganalisis repositori Firefox terbaru.
Fokus awal diarahkan pada JavaScript engine, salah satu komponen browser yang memiliki permukaan serangan sangat luas. Komponen ini secara rutin memproses kode eksternal yang tidak selalu dapat dipercaya, sehingga sering menjadi target eksploitasi.
Menariknya, hanya dalam waktu sekitar 20 menit eksplorasi otomatis, Claude berhasil menemukan kerentanan baru bertipe Use After Free.
Kerentanan ini termasuk kategori memory corruption, yaitu kondisi di mana penyerang dapat menimpa data memori dengan payload berbahaya dan berpotensi menjalankan kode berbahaya di sistem korban.
Setelah keberhasilan awal tersebut, Claude melanjutkan analisis terhadap hampir 6.000 file C++ yang terdapat di dalam proyek Firefox.
Hasilnya cukup mengejutkan. AI tersebut menghasilkan 112 laporan bug unik yang langsung dikirimkan ke sistem pelacakan bug milik Mozilla, yaitu Bugzilla.
Karena jumlah laporan yang sangat besar, tim peneliti dari Mozilla dan Anthropic kemudian bekerja sama untuk menyempurnakan proses triase bug, yaitu proses memilah laporan mana yang benar-benar merupakan kerentanan keamanan.
Hal ini menunjukkan bahwa meskipun AI sangat efektif dalam menemukan bug, tetap diperlukan kolaborasi erat antara sistem otomatis dan pengembang manusia untuk memvalidasi dan memperbaikinya.
Rincian Kerentanan yang Ditemukan
Berikut beberapa kategori kerentanan yang berhasil diidentifikasi:
| Jenis Kerentanan | Komponen | Dampak Keamanan | Status Perbaikan |
|---|---|---|---|
| Use After Free (Zero-Day) | JavaScript Engine | Memungkinkan eksekusi kode berbahaya melalui korupsi memori | Diperbaiki di Firefox 148.0 |
| 14 Kerentanan High-Severity | File inti C++ | Berbagai dampak kritis yang membutuhkan penanganan cepat | Diperbaiki di Firefox 148.0 |
| 8 Kerentanan Moderat | Sub-sistem browser | Potensi eksploitasi terbatas atau bypass pertahanan | Dijadwalkan pada rilis mendatang |
AI Masih Terbatas dalam Membuat Eksploit
Meski sangat efektif dalam menemukan kerentanan, kemampuan AI untuk mengubah bug menjadi eksploit nyata masih cukup terbatas.
Anthropic sempat menugaskan Claude untuk membuat eksploit fungsional dari bug yang ditemukan, dengan tujuan membaca dan menulis file lokal pada sistem target.
Setelah melakukan ratusan percobaan dengan biaya sekitar $4.000 dalam kredit API, model tersebut hanya berhasil menghasilkan dua eksploit yang benar-benar berfungsi.
Bahkan eksploit tersebut hanya dapat berjalan dalam lingkungan pengujian dengan sandbox browser yang dimatikan. Artinya, dalam kondisi nyata, sistem pertahanan berlapis milik Firefox masih mampu menghalangi serangan tersebut.
Tantangan Baru bagi Industri Keamanan Siber
Seiring meningkatnya kemampuan model AI generasi terbaru, pengembang perangkat lunak harus semakin cepat dalam memperkuat sistem keamanan mereka.
Saat ini, para defender masih memiliki keunggulan, karena AI jauh lebih efektif dan murah dalam menemukan kerentanan dibandingkan membuat eksploitnya.
Namun, dengan peluncuran terbatas Claude Code Security, kemampuan pencarian kerentanan dan pembuatan patch kini juga mulai tersedia langsung bagi pelanggan dan pengelola proyek open-source.
Para pakar industri memperingatkan bahwa jarak antara penemuan bug dan eksploitasi akan semakin menyempit. Oleh karena itu, organisasi disarankan untuk menerapkan prinsip Coordinated Vulnerability Disclosure (CVD) agar penanganan kerentanan bisa dilakukan secara terkoordinasi.
Baca Juga : Claude Opus 4.5 Resmi Terhubung ke GitHub Copilot, Era Baru AI untuk Coding
Selain itu, peneliti keamanan juga mulai mengembangkan metode verifikasi baru seperti task verifiers, yaitu sistem otomatis yang memungkinkan agen AI memeriksa dan memvalidasi patch yang dibuatnya sendiri.
Beberapa persyaratan penting dalam pelaporan kerentanan berbasis AI antara lain:
-
Menyertakan test case minimal yang menunjukkan kondisi pemicu bug.
-
Memberikan proof-of-concept (PoC) yang menjelaskan bagaimana kerentanan dapat dieksploitasi.
-
Menyertakan patch kandidat yang dihasilkan dan diverifikasi oleh AI.
-
Menggunakan automated test suite untuk memastikan patch benar-benar memperbaiki kerentanan tanpa menyebabkan regresi pada perangkat lunak.
Dengan pendekatan ini, AI berpotensi menjadi sekutu penting bagi para peneliti keamanan, sekaligus mempercepat proses menemukan dan memperbaiki celah keamanan di masa depan.
