Anthropic Memperingatkan Serangan Siber Berbasis AI Akan Melonjak dalam 24 Bulan

Zach Anderson 10 Apr 2026 23:18

Anthropic merilis pedoman keamanan saat Project Glasswing mengungkapkan model AI terdepan kini dapat menemukan dan mengeksploitasi kerentanan lebih cepat daripada pembela manusia.

Anthropic Memperingatkan Serangan Siber Berbasis AI Akan Melonjak dalam 24 Bulan

Anthropic merilis penilaian yang mengkhawatirkan minggu ini: dalam dua tahun, model AI akan mengungkap sejumlah besar kerentanan perangkat lunak yang tidak terdeteksi dalam kode selama bertahun-tahun—dan merangkainya menjadi eksploitasi yang berfungsi. Tim keamanan perusahaan merilis rekomendasi defensif terperinci bersamaan dengan Project Glasswing, inisiatif mereka untuk menerapkan kemampuan Claude Mythos Preview untuk pertahanan siber.

Perhitungannya tidak rumit. Jika penyerang dapat menggunakan model terdepan untuk mengotomatiskan penemuan kerentanan dan pembuatan eksploitasi, jendela waktu antara patch dirilis dan eksploitasi yang berfungsi muncul menyusut secara dramatis. Insinyur keamanan Anthropic telah menyaksikan hal ini terjadi dalam pengujian mereka sendiri.

Apa yang Sebenarnya Ditemukan Penelitian Mereka

Menurut temuan teknis Anthropic, model AI unggul dalam mengenali tanda-tanda kerentanan yang diketahui dalam sistem yang belum ditambal. Membalikkan patch menjadi eksploitasi yang berfungsi—jenis analisis mekanis yang ditangani dengan baik oleh model-model ini—dulunya memerlukan keterampilan khusus. Sekarang ini menjadi otomatis.

Perusahaan mencatat bahwa model yang tersedia untuk umum di bawah tingkat kemampuan Mythos sudah dapat menemukan kerentanan serius yang terlewatkan oleh tinjauan kode tradisional untuk periode yang lama. Kerentanan Mozilla Firefox yang ditemukan melalui pemindaian AI menjadi salah satu contoh terdokumentasi.

Strategi Defensif

Rekomendasi Anthropic memprioritaskan kontrol yang bertahan bahkan terhadap penyerang dengan kesabaran tak terbatas dan bantuan AI. Langkah-langkah keamanan berbasis friksi—lompatan pivot tambahan, batas kecepatan, port non-standar—kehilangan efektivitas ketika musuh dapat mengatasi langkah-langkah membosankan secara otomatis.

Prioritas utama mereka:

Kecepatan patch lebih penting dari sebelumnya. Aplikasi yang menghadap internet harus menerima patch dalam 24 jam setelah eksploitasi tersedia. Katalog CISA Known Exploited Vulnerabilities harus diperlakukan sebagai antrian darurat. Anthropic merekomendasikan penggunaan EPSS (Exploit Prediction Scoring System) untuk memprioritaskan yang lainnya.

Bersiaplah untuk volume laporan kerentanan 10x lipat. Selama dua tahun ke depan, proses intake dan triase akan menghadapi tekanan yang belum pernah mereka alami. Organisasi yang masih menjalankan pertemuan spreadsheet mingguan tidak akan bisa mengimbangi.

Pindai kode Anda sendiri dengan model terdepan sebelum penyerang melakukannya. Ini adalah rekomendasi paling ditekankan oleh Anthropic. Kode lama yang mendahului praktik tinjauan saat ini—terutama kode yang pengarang aslinya telah pindah—merupakan target bernilai tertinggi untuk pemindaian proaktif.

Zero Trust Menjadi Nyata

Pedoman ini mendorong keras ke arah kredensial terikat perangkat keras dan isolasi layanan berbasis identitas. Server build yang terkompromi tidak boleh mencapai database produksi. Laptop yang terkompromi tidak boleh menyentuh infrastruktur build.

Kunci API statis, kredensial tertanam, dan kata sandi akun layanan bersama digambarkan sebagai "di antara hal pertama yang akan ditemukan penyerang dengan analisis kode berbantuan model."

Untuk Operasi Kecil

Organisasi tanpa tim keamanan khusus mendapat saran spesifik: aktifkan pembaruan otomatis di mana-mana, pilih layanan terkelola daripada hosting sendiri, gunakan passkey atau kunci keamanan perangkat keras, dan aktifkan alat keamanan gratis dari host kode seperti Dependabot dan CodeQL GitHub.

Pengelola open-source harus mengharapkan peningkatan volume laporan kerentanan—beberapa berharga, beberapa gangguan otomatis. Menerbitkan SECURITY.md dengan proses intake yang jelas membantu memisahkan sinyal dari spam.

Anthropic berkomitmen untuk memperbarui pedoman ini seiring Project Glasswing berkembang. Untuk perusahaan yang melacak kepatuhan SOC 2 dan ISO 27001, sebagian besar rekomendasi dipetakan langsung ke kontrol yang ada. Perbedaannya sekarang adalah urgensi.

Sumber gambar: Shutterstock