Beranda
Berita
Detail

Claude Opus 4.8 Menemukan Kerentanan $4,5 Miliar dalam Protokol Zcash

icon MarsBit
Bagikan
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconRingkasan

expand icon
Seorang peneliti keamanan yang menggunakan Claude Opus 4.8 dari Anthropic menemukan kelemahan senilai $4,5 miliar pada protokol Orchard Zcash, yang memungkinkan pencetakan token tanpa batas. Kelemahan ini ditemukan pada 29 Mei 2026, dan dikonfirmasi oleh Zcash dua hari kemudian. Harga Zcash jatuh 50% setelah pengungkapan pada 5 Juni. Kejadian ini menunjukkan bagaimana AI membuat lebih mudah menemukan dan mengeksploitasi kerentanan, menambah tekanan pada tim pemeliharaan. Altcoin yang perlu diawasi mungkin berubah seiring reaksi fear and greed index terhadap risiko semacam ini.

Tulis oleh Sleepy

Seseorang menggunakan Claude Opus 4.8 menemukan bug yang menyebabkan kapitalisasi pasar satu cryptocurrency menguap sebesar 4,5 miliar dolar AS.

Titik awalnya adalah sebuah audit keamanan. Zcash adalah jaringan privasi berpengalaman yang menggunakan bukti pengetahuan-nol untuk melindungi informasi transaksi, dan Orchard adalah inti dari kemampuan transaksi privatnya.

Pada 29 Mei, peneliti keamanan Taylor Hornby menemukan kerentanan serius di Orchard dalam audit protokol yang dipesan oleh Shielded Labs, yang memungkinkan penyerang menciptakan token yang seharusnya tidak ada, yaitu "penerbitan tak terbatas".

Zcash kemudian menyelesaikan pembaruan darurat dalam beberapa hari, dan pihak resmi mengonfirmasi bahwa kerentanan tersebut memang ada, tetapi tidak dapat memastikan apakah ada pihak yang telah memanfaatkannya untuk mencetak ulang token. Setelah pernyataan resmi dikeluarkan pada 5 Juni, Zcash anjlok 50%.

Opus 4.8 dari Anthropic dirilis pada 28 Mei, dan kebocoran tersebut ditemukan hari berikutnya.

Bukan Mythos, tapi Opus

Peristiwa Zcash ini menakutkan, bukan karena AI kuat, tetapi karena kali ini kekuatannya terlalu biasa.

Sebelum ini, industri keamanan benar-benar takut akan Claude Mythos Preview dari Anthropic. Pada April 2026, Anthropic merilis evaluasi kemampuan keamanan siber yang menyatakan bahwa Mythos Preview mampu mengidentifikasi dan memanfaatkan kerentanan nol-hari di sistem operasi dan browser utama, beberapa kerentanan sangat tersembunyi dan telah bersembunyi selama belasan tahun, salah satu bug OpenBSD bahkan dapat ditelusuri kembali hingga 27 tahun yang lalu.

Evaluasi juga menyatakan bahwa seorang insinyur tanpa latar belakang keamanan juga dapat membuat Mythos Preview bekerja sepanjang malam untuk mencari kerentanan remote code execution, dan ketika bangun keesokan harinya, ia akan melihat rangkaian kode serangan yang lengkap dan dapat digunakan.

Ini berarti kemampuan yang dulu hanya bisa dikuasai secara jangka panjang oleh sejumlah kecil orang, kini berubah menjadi layanan yang dapat diakses kapan saja oleh siapa pun. Kemampuan ini sendiri tidak memiliki sikap, perbedaannya hanya terletak pada siapa yang menggunakannya dan untuk apa.

Anthropic sendiri juga menyadari hal ini. Oleh karena itu, mereka mengembangkan Project Glasswing, yang terlebih dahulu memberikan Mythos Preview kepada sejumlah kecil organisasi untuk melakukan pekerjaan keamanan defensif. Mereka juga mengakui bahwa model selevel ini memerlukan perlindungan yang lebih kuat dan batasan penggunaan yang lebih ketat sebelum dapat dibuka untuk semua orang.

Orchard

Dalam hal Zcash, teknisi yang terlibat tidak menggunakan Mythos yang masih terkunci, melainkan Opus 4.8 yang telah dirilis, tersedia, dan telah dimasukkan ke dalam alur kerja orang biasa.

AI memasuki bidang keamanan, memberikan kemampuan audit tim besar kepada tim kecil. Ini memungkinkan pemelihara menemukan bug lebih cepat, sekaligus memungkinkan penyerang memahami sistem lebih cepat.

Selain itu, yang paling berbahaya belum tentu model terkuat, tetapi model yang cukup kuat, cukup murah, dan cukup umum.

Semakin umum modelnya, semakin banyak orang yang bisa menggunakannya. Maka masalahnya bukan lagi apakah AI bisa menemukan kerentanan, tetapi: apa yang akan terjadi ketika semua orang bisa menemukannya.

Ketika mencari bug menjadi gerakan massal

Setelah AI membuat penemuan kerentanan menjadi lebih murah, akan muncul dua hal.

Satu jenis adalah palsu, banyak laporan keamanan yang tampak meyakinkan tetapi sebenarnya tidak dapat diverifikasi. Jenis lainnya adalah asli, kerentanan yang sebelumnya tersembunyi di kedalaman sistem dan memerlukan ahli berbulan-bulan untuk menemukannya, kini mulai ditemukan lebih cepat.

Yang pertama akan membanjiri para pemelihara, yang kedua akan menembus sistem. Yang lebih merepotkan, keduanya akan datang secara bersamaan.

Keamanan siber awalnya memiliki narasi ideal: penemu lubang keamanan putih secara bertanggung jawab melaporkannya, produsen memperbaikinya, dan pengguna mendapat manfaat.

Dulu, banyak kali dunia berjalan sesuai narasi ini. Namun, ketika AI menurunkan ambang batas untuk "menemukan kerentanan," dan setiap orang dapat menggunakan model publik untuk mencari bug, yang masuk adalah banyak orang yang ingin memperoleh hadiah atau membangun reputasi. Banyak dari mereka hanya menyalin sepotong prompt, meminta model untuk menghasilkan laporan yang tampak cukup meyakinkan. Laporan tersebut belum tentu benar.

Tetapi terlepas dari benar atau tidak, para pemelihara harus memperlakukannya dengan serius.

Orchard

OpenSSF mengadakan diskusi pada Februari 2026 tentang "Laporan Sampah AI", yang secara khusus meneliti bagaimana pemelihara open source harus merespons laporan kerentanan berkualitas rendah yang dihasilkan AI. curl melaporkan bahwa pada pertengahan 2025, hanya sekitar 5% dari submisi hadiah yang merupakan kerentanan asli, sekitar 20% tampak seperti konten berkualitas rendah yang dihasilkan AI. OpenSSF mengatakan bahwa laporan semacam ini sangat mirip dengan DDoS, hanya saja menyerang perhatian manusia.

Pemelihara open source bukan pusat layanan pelanggan. Banyak di antara mereka tidak mendapat gaji, tidak memiliki tim keamanan, dan tidak memiliki jadwal shift. Namun, sebuah proyek bisa menjadi tulang punggung bagi ribuan sistem bisnis di seluruh dunia, sementara perusahaan-perusahaan yang menghemat biaya besar dengan memanfaatkan open source belum tentu memberikan satu sen pun kepada para pemelihara; namun begitu terjadi masalah, mereka semua akan kembali bertanya mengapa Anda tidak memperbaikinya lebih awal.

curl kemudian menutup program bounty keamanan karena tidak mampu menanggungnya. Laporan keamanan seharusnya menjadi bagian dari pertahanan, tetapi ketika laporan tersebut dipenuhi konten sampah, pertahanan ini justru akan menguras energi orang-orang di belakangnya.

AI memberi lebih banyak orang kemampuan untuk mengirim laporan kerentanan, tetapi tidak meningkatkan kemampuan lebih banyak orang untuk menilai keaslian kerentanan. Mampu menghasilkan laporan melalui model tidak sama dengan memahami laporan tersebut; mampu menjalankan kode verifikasi tidak sama dengan mampu menjelaskan seberapa besar dampaknya.

Dan yang lebih parah lagi, kita sebenarnya hidup di dunia di mana AI benar-benar bisa menemukan ribuan kerentanan.

Ketenangan kita di masa lalu adalah karena keberuntungan

Internet memberikan ilusi terbesar bahwa segala sesuatu yang dapat berjalan pasti andal.

Ponsel bisa membayar, kereta bawah tanah bisa dipindai dengan kode QR, rumah sakit bisa mendaftarkan Anda; bahkan di penyimpanan cloud masih tersimpan foto lama Anda sepuluh tahun lalu, Anda sudah lupa, tapi itu tidak lupa. Hal-hal ini bekerja setiap hari, sehingga kita menganggapnya tidak pernah bermasalah. Kepercayaan manusia terhadap teknologi, sering kali bukan kepercayaan, tapi malas untuk meragukan.

Kode bisa seperti gedung tua yang terus ditambah lantainya, di bawahnya tertimbun protokol lama dan perpustakaan lama, di atasnya ditumpuk kebutuhan sementara dan "langsung rilis dulu", serta di puncaknya menumpuk kode turun-temurun yang tak ada yang berani menghapus. Lampu di dalam gedung menyala, lift masih naik-turun, dan manajemen mengatakan semuanya normal. Tapi tak seorang pun tahu apakah ada retakan di dalam dinding.

Orchard

Heartbleed adalah contoh klasik. Sebuah kerentanan di OpenSSL memungkinkan penyerang membaca kunci pribadi dan kata sandi dari memori server, yang baru ditemukan dan diperbaiki pada tahun 2014. Sebelum itu, kerentanan ini telah bersembunyi selama lebih dari dua tahun, dan pada saat itu lebih dari enam puluh persen situs aktif di seluruh dunia berjalan di server yang terdampak. Selama dua tahun, hampir separuh internet hampir telanjang, tanpa ada yang tahu.

Juga ada Baron Samedit dari sudo. Ketika Qualys mengungkapkannya pada tahun 2021, mereka menyatakan bahwa kerentanan ini telah ada di sudo selama hampir sepuluh tahun, dan sudo adalah salah satu alat izin paling umum digunakan di dunia Unix/Linux.

Masih banyak contoh serupa. Ketika dilihat bersama-sama, tiba-tiba terasa bahwa kita beruntung bisa berselancar dengan aman di internet hingga hari ini.

Mengapa kerentanan ini tidak terdeteksi selama begitu lama?

Jawabannya sederhana: biaya mencari celah terlalu tinggi.

Biaya bukan hanya uang, tapi juga waktu dan kesabaran. Anda harus membaca kode, mengatur lingkungan, memahami protokol, mereproduksi kondisi batas, menulis kode verifikasi, menilai dampaknya, serta mampu membedakan mana yang merupakan false positive. Terkadang program berjalan sepanjang malam tanpa hasil, mencoba satu jalur hingga habis, hanya untuk menemukan bahwa jalur itu sama sekali tidak mungkin ditempuh. Peneliti keamanan dan peretas di dunia nyata sering kali saling beradu dengan serangkaian detail yang retak.

Banyak kerentanan sebelumnya bisa disembunyikan selama itu bukan karena mereka sangat misterius, tetapi karena orang yang bersedia, mampu, dan mau terus mencarinya terlalu sedikit.

Yang diubah oleh AI adalah struktur biaya ini.

Dulu terlalu banyak sudut dan celah, senter terlalu sedikit. Sekarang senter mulai diproduksi secara massal.

Lampu senter yang sama bisa melihat retakan sekaligus titik yang bisa diserang. Pada saat ia membuat "penemuan" menjadi murah, ia juga membuat "serangan" menjadi murah. Seseorang hari ini menggunakannya untuk mengirimkan laporan berkualitas rendah ke proyek open source, besok bisa menggunakan metode yang sama untuk memindai sistem perusahaan; hari ini ia memikirkan hadiah kerentanan, besok mungkin yang dipikirkan adalah dana di rantai.

Di balik akses internet yang normal

Sebelum benar-benar terjadi masalah, kita tidak merasakan keberadaan "keamanan internet".

Anda membuka Alipay, memindai kode QR, membayar, dan dana masuk—seluruh proses mungkin kurang dari tiga detik. Anda tidak akan menyadari betapa banyak aturan pengendalian risiko, sidik jari perangkat, pengenalan perilaku, pertahanan melawan kejahatan siber, respons kerentanan, dan rencana darurat yang berada di baliknya.

Pada Mei 2026, AntSRC melakukan kampanye reward kerentanan "Operasi Pemburu", dengan cakupan pengujian meliputi Alipay, Huabei, Jiebei, Ant Wealth, MyBank, Ant Digital Technologies, Ant International, dan lainnya. Untuk kerentanan tinggi dan serius pada produk terkait transaksi pembayaran, dana, dan tagihan, hadiah maksimal mencapai 5 kali lipat, yaitu hingga 71.500 yuan.

Perusahaan besar juga menyadari bahwa mereka tidak mungkin bisa mengidentifikasi semua masalah hanya dengan tim internal, sehingga harus mengintegrasikan organisasi white-hat eksternal ke dalam proses resmi. Keamanan lebih seperti rantai kolaborasi yang panjang: ada yang menemukan serangan, ada yang memverifikasi, mengklasifikasikan, memperbaiki, dan merilis, serta ada yang secara khusus memantau agar tidak merugikan pengguna normal. Rantai ini tidak boleh putus di bagian mana pun.

Laporan态势 keamanan Alibaba Cloud pada Oktober 2025 menyebutkan bahwa platform cloud secara rata-rata mempertahankan 6,245 miliar serangan per hari bagi pelanggan, serta memblokir 27.500 IP jahat; pada bulan tersebut, terdeteksi dan diblokir 102.800 serangan DDoS dengan puncak mencapai 2100 Gbps.

Orchard

Apa yang biasa kita sebut sebagai 'berselancar di internet secara normal' sebenarnya adalah jalan sempit yang direbut oleh insinyur keamanan dari sejumlah besar anomali. Internet tidak pernah sepi.

Pemelihara open source tidak memiliki anggaran, jadwal shift, atau tim tanggap darurat; perusahaan besar dapat membeli hal-hal ini. Tetapi bahkan perusahaan besar pun hanya bisa mengandalkan rantai kolaborasi manusia yang panjang untuk menekan anomali hingga tingkat yang tidak terasa oleh pengguna biasa.

Rantai kolaborasi yang panjang dan rapuh ini sudah beroperasi penuh sebelum AI secara besar-besaran ikut terlibat. Sekarang, Anda menambahkan kelipatan lubang keamanan dan kelipatan laporan—apakah pihak pertahanan cukup?

Setelah menemukan kerentanan, siapa yang memperbaikinya?

Laporan Tenaga Kerja Keamanan Siber ISC2 tahun 2024 memperkirakan bahwa jumlah profesional keamanan siber yang saat ini bekerja di seluruh dunia sekitar 5,5 juta, dengan kesenjangan tenaga kerja mencapai 4,8 juta, meningkat 19% dibanding tahun sebelumnya. Laporan ini secara khusus menjelaskan bahwa "kesenjangan" ini bukan merujuk pada berapa banyak lowongan yang terdaftar di situs lowongan kerja, melainkan perbedaan antara jumlah personel yang menurut organisasi diperlukan untuk melindungi mereka secara memadai dengan jumlah personel yang tersedia secara nyata.

Arti dari angka-angka ini sangat sederhana: banyak celah, tetapi orangnya tidak cukup.

Dan bukan hanya jumlah orang yang tidak mencukupi, tetapi juga orang-orang yang mampu menangani tugas-tugas kompleks yang kurang. ISC2 juga menyebutkan bahwa 67% responden mengatakan organisasi mereka mengalami kekurangan staf keamanan siber, dan 58% percaya kekurangan ini membuat organisasi mereka menghadapi risiko signifikan. 31% mengatakan tim keamanan mereka tidak memiliki karyawan tingkat pemula, dan 15% mengatakan tidak memiliki karyawan pemula dengan pengalaman 1–3 tahun. Banyak organisasi tidak hanya kekurangan tenaga kerja, tetapi juga kekurangan saluran untuk membina generasi berikutnya.

Ini lebih merepotkan daripada tidak bisa merekrut orang. Tidak bisa merekrut orang adalah masalah hari ini; tanpa karyawan pemula, Anda tidak akan bisa merekrut orang di masa depan.

Orchard

Laporan Pengembangan Sumber Daya Manusia Industri Keamanan Siber di Era AI di Tiongkok juga menyediakan sejumlah data: pada tahun 2025, 46,2% responden memiliki gaji tahunan sebelum pajak antara 200.000 hingga 300.000 yuan. Pasar bersedia membayar untuk tenaga profesional inti, karena orang-orang yang benar-benar mampu menangani ancaman kompleks dan membuat keputusan selama insiden sangat langka. Laporan tersebut juga menunjukkan bahwa 56,5% responden mengatakan AI memungkinkan mereka untuk lebih fokus pada analisis ancaman kompleks, sementara 33,0% menyatakan sedang beralih dari tingkat eksekusi ke perumusan strategi.

Ini sangat penting.

Yang paling kita butuhkan sekarang adalah orang yang bisa membaca kerentanan di tengah malam, menilai seberapa besar dampaknya, mengoordinasikan seluruh rantai pasokan, dan menulis patch. Keamanan tidak pernah menjadi bidang yang bergantung pada ilham tiba-tiba; ini adalah pekerjaan kotor dan melelahkan. Pisahkan kata "keamanan siber", di dalamnya hanya ada false positive, disalahkan, patch yang tak pernah selesai, rapat yang tak kunjung habis, dan panggilan telepon yang membangunkanmu pukul tiga pagi.

Bakteri pes tidak pernah hilang

Camus pernah menulis sebuah novel berjudul "The Plague".

Cerita berlangsung di sebuah kota kecil biasa di Afrika Utara. Wabah tiba-tiba meletus, pintu kota ditutup, dan semua orang terperangkap di dalamnya. Kehidupan sehari-hari hancur dalam semalam. Awalnya, orang-orang panik, kemudian menjadi tak peduli, lalu akhirnya terbiasa. Hingga akhirnya wabah benar-benar reda, pintu kota dibuka kembali, dan suara tawa serta kegembiraan kembali terdengar di jalan-jalan.

Di akhir novel, Camus berkata: "Menurut catatan medis, bakteri pes tidak pernah mati sepenuhnya atau hilang; mereka dapat bertahan selama puluhan tahun di perabotan, pakaian, dan selimut; dengan sabar menunggu di kamar, ruang bawah tanah, kotak perjalanan, sapu tangan, dan kertas bekas. Mungkin suatu hari nanti, wabah akan membangunkan kembali kawanan tikusnya, membuat mereka mati di suatu kota yang bahagia, sehingga manusia kembali mengalami penderitaan dan belajar pelajaran yang sama lagi."

Saya selalu merasa, kalimat ini sangat cocok digunakan untuk menggambarkan kerentanan jaringan.

It wasn't born on the day it was discovered. It had long lain in the code, and since no one heard its breath, we mistook silence for security.

Hari-hari biasa yang sudah kita anggap biasa saja, semuanya berjalan di atas kode. Kode tersebut menyimpan utang lama, yang dulu tidak segera dibayar karena sedikit yang menagih. Setelah AI datang, tiba-tiba jumlah penagih utang menjadi banyak.

Yang menakutkan bukan hanya jumlah peretas yang bertambah. Di sisi lain sistem, orang yang menangani masalah tidak bertambah sebanding.

Inilah titik paling sulit di era keamanan AI. Kemampuan akan menyebar dengan sendirinya, sedangkan tanggung jawab tidak; menemukan kerentanan menjadi semakin murah, tetapi memperbaikinya tetap seharga dulu. Kerusakan dapat disalin secara tak terhingga melalui skrip, sedangkan kepercayaan hanya bisa dibangun kembali perlahan, satu sistem dan satu tim demi satu tim.

AI tidak akan menghancurkan internet dalam semalam. Yang dilakukannya lebih mirip menyalakan lampu. Kita akhirnya melihat bahwa kehidupan digital bukanlah suatu tatanan alami yang berjalan otomatis, melainkan hasil dari sekelompok orang yang setiap hari meminimalkan risiko hingga kita tidak menyadarinya.

Yang benar-benar mahal di masa depan bukanlah menemukan celah, tetapi apakah masih cukup banyak orang yang bersedia memperbaiki celah satu per satu.

Sumber:Tampilkan versi asli
Penafian: Informasi pada halaman ini mungkin telah diperoleh dari pihak ketiga dan tidak mencerminkan pandangan atau opini KuCoin. Konten ini disediakan hanya untuk tujuan informasi umum, tanpa representasi atau jaminan apa pun, dan tidak dapat ditafsirkan sebagai saran keuangan atau investasi. KuCoin tidak bertanggung jawab terhadap segala kesalahan atau kelalaian, atau hasil apa pun yang keluar dari penggunaan informasi ini. Berinvestasi di aset digital dapat berisiko. Harap mengevaluasi risiko produk dan toleransi risiko Anda secara cermat berdasarkan situasi keuangan Anda sendiri. Untuk informasi lebih lanjut, silakan lihat Ketentuan Penggunaan dan Pengungkapan Risiko.