Proyek AI Anthropic Menemukan Lebih dari 10.000 Kerentanan Perangkat Lunak

Model AI terbatas Anthropic baru saja menyelesaikan dalam beberapa minggu apa yang tidak bisa dilakukan para peneliti keamanan manusia selama puluhan tahun. Project Glasswing, koalisi keamanan siber perusahaan, secara kolektif telah mengidentifikasi lebih dari 10.000 kerentanan perangkat lunak tingkat tinggi dan kritis, termasuk ribuan kelemahan zero-day yang telah bersembunyi tanpa terdeteksi dalam sistem yang banyak digunakan selama bertahun-tahun.

Di antara temuan tersebut: kerentanan berusia 27 tahun di OpenBSD dan bug berusia 16 tahun di FFmpeg. Keduanya telah bertahan melalui setiap putaran tinjauan kode manusia dan pengujian otomatis sebelumnya.

Anthropic meluncurkan Project Glasswing pada 7 April 2026, yang dibangun di sekitar model mutakhir yang belum dirilis bernama Claude Mythos Preview. Gagasan intinya sederhana: arahkan AI yang sangat mampu ke infrastruktur perangkat lunak kritis dan biarkan ia mencari kelemahan keamanan yang terus terlewatkan oleh manusia.

Claude Mythos Preview sangat ahli dalam menemukan dan mengeksploitasi kerentanan secara otonom, sehingga Anthropic memutuskan untuk tidak merilisnya secara publik. Sebagai gantinya, mereka membentuk konsorsium perusahaan teknologi dan infrastruktur yang mendapatkan akses eksklusif ke model ini secara ketat untuk pekerjaan keamanan defensif.

Lebih dari 40 organisasi kini berpartisipasi dalam inisiatif ini. Anthropic telah berkomitmen menyediakan kredit penggunaan model hingga $100 juta untuk mendukung upaya ini, bersama dengan sekitar $4 juta yang dialokasikan untuk peningkatan keamanan open-source.

Pembaruan yang dirilis sekitar 22-23 Mei 2026 adalah saat angka-angkanya menjadi menakjubkan. Mitra secara kolektif melaporkan lebih dari 10.000 kerentanan dengan tingkat keparahan tinggi dan kritis, dengan ribuan diklasifikasikan sebagai zero-day, yang berarti sebelumnya tidak diketahui oleh pemelihara perangkat lunak dan komunitas keamanan secara luas.

Menemukan kerentanan adalah satu hal. Memperbaikinya adalah masalah yang sama sekali berbeda.

Dari ribuan temuan tingkat tinggi yang diverifikasi, kurang dari 100 perbaikan yang dikonfirmasi telah diterapkan hingga kini. AI dapat menemukan kelemahan dengan kecepatan yang jauh melebihi kemampuan industri untuk memperbaikinya.

Temuan zero-day ini sangat mengungkapkan. Kerentanan berusia 27 tahun di OpenBSD berarti bahwa selama hampir tiga dekade, setiap audit keamanan, setiap kampanye fuzzing, dan setiap pasang mata ahli yang meninjau basis kode tersebut melewatkan sesuatu yang berhasil ditangkap oleh model AI. Kerentanan FFmpeg berusia 16 tahun menceritakan kisah serupa. Ini bukan proyek-proyek yang tidak dikenal. OpenBSD terkenal karena fokus keamanannya, dan FFmpeg tertanam di berbagai aplikasi media di seluruh dunia.

Kredit penggunaan senilai $100 juta yang dijanjikan Anthropic untuk inisiatif ini menunjukkan seberapa serius laboratorium AI besar menganggap sifat penggunaan ganda dari model mereka. Dengan membatasi Claude Mythos Preview pada koalisi yang telah diverifikasi daripada merilisnya secara luas, Anthropic dapat menunjukkan penerapan yang bertanggung jawab sekaligus membangun hubungan mendalam dengan tim keamanan perusahaan.