Selama bertahun-tahun, industri keamanan siber memperingatkan bahwa peretasan yang dibantu AI akan datang. Sekarang sudah terjadi. Grup Intelijen Ancaman Google (GTIG) telah mengonfirmasi kasus pertama yang diketahui dari eksploit zero-day yang dihasilkan dengan bantuan kecerdasan buatan, yang berhasil melewati otentikasi dua faktor dengan memanfaatkan kelemahan kepercayaan yang dihardcode dalam alat administrasi web open-source yang banyak digunakan.
Temuan tersebut, yang dipublikasikan pada 11 Mei 2026, mewakili eskalasi bermakna dalam permainan saling mengejar antara peneliti keamanan dan pelaku ancaman. Dan bagi siapa pun di dunia kripto yang mengandalkan 2FA sebagai pelindung keamanan, ini adalah peringatan yang patut diperhatikan.
Apa yang ditemukan GTIG, dan mengapa itu berbeda
Eksploitasi adalah skrip Python yang dirancang untuk menghindari perlindungan 2FA dengan menargetkan kelemahan logika pada alat admin web open-source yang tidak disebutkan namun digunakan secara luas. Dalam bahasa Inggris: alat tersebut memiliki kelemahan dalam cara menentukan kepercayaan terhadap permintaan otentikasi tertentu, dan skrip tersebut dibuat khusus untuk menyalahgunakan kelemahan tersebut.
Yang membuat kasus ini belum pernah terjadi sebelumnya bukan hanya eksploitasi itu sendiri. Tetapi jejak yang ditinggalkan.
Para peneliti GTIG mengidentifikasi beberapa tanda khas kode yang dihasilkan AI sepanjang skrip tersebut. Kelas warna ANSI yang bersih, petunjuk pendidikan yang terorganisir, skor CVSS yang dibuat-buat (peringkat tingkat keparahan standar industri), dan menu bantuan terperinci semuanya hadir. Ini adalah karakteristik yang hampir tidak pernah muncul pada eksploitasi yang ditulis secara manual.
Bayangkan seperti menemukan perangkat pencuri yang setiap alatnya diberi label instruksi dan dikodekan warna berdasarkan fungsinya. Peretas manusia biasanya tidak repot-repot dengan tingkat kehalusan semacam itu. Sebaliknya, model bahasa besar dilatih untuk menjadi membantu dan terorganisir, bahkan ketika outputnya jahat.
Analisis GTIG menemukan bahwa struktur kode selaras erat dengan pola data pelatihan dari model bahasa besar. Kelompok tersebut berhasil mengecualikan model Gemini milik Google dari keterlibatannya, yang berarti pelaku ancaman menggunakan sistem AI yang berbeda untuk menemukan kerentanan dan merancang eksploit yang berfungsi.
Intervensi Google menghentikan kampanye eksploitasi massal
Ini masalahnya. Ini bukan sekadar latihan akademis atau bukti konsep yang hanya tersimpan di forum dark web. GTIG menentukan bahwa pelaku ancaman memiliki rencana untuk eksploitasi massal, artinya mereka berniat menerapkan eksploitasi tersebut secara besar-besaran terhadap sistem yang menjalankan alat yang rentan.
Google ikut campur dengan bekerja langsung dengan vendor untuk menerapkan perbaikan sebelum kampanye tersebut diluncurkan. Timeline menunjukkan bahwa GTIG menemukan ini relatif awal dalam siklus eksploitasi, yang merupakan skenario terbaik untuk insiden semacam ini.
Namun, fakta bahwa hal ini sampai sejauh ini, sebuah model AI yang digunakan tidak hanya untuk menulis skrip tetapi juga untuk mengidentifikasi kerentanan yang sebelumnya tidak diketahui dan kemudian membangun cara bypass fungsional terhadap 2FA, menandai bab baru dalam keamanan siber ofensif. Hambatan untuk memulai pengembangan eksploit canggih kini turun secara signifikan.
Sebelumnya, membuat zero-day memerlukan keahlian mendalam dalam reverse engineering, penelitian kerentanan, dan pengembangan eksploit. Ini adalah keterampilan yang membutuhkan bertahun-tahun untuk dikembangkan. Model AI dapat memadatkan sebagian besar proses tersebut menjadi beberapa jam, menurunkan ambang keterampilan bagi calon penyerang sekaligus meningkatkan potensi yang dapat dicapai oleh peretas berpengalaman.
Mengapa kripto harus diperhatikan
Tidak ada platform mata uang kripto tertentu yang dikaitkan dengan eksploitasi ini. Namun, implikasinya bagi industri kripto sulit diabaikan.
Otentikasi dua faktor adalah lapisan keamanan dasar di hampir semua bursa mata uang kripto utama, penyedia dompet, dan platform DeFi. Banyak layanan ini berjalan pada atau terintegrasi dengan alat administrasi web sumber terbuka, tepatnya kategori perangkat lunak yang menjadi sasaran di sini.
Kerentanan kepercayaan yang dihardcode di inti eksploit ini adalah jenis kerentanan yang dapat muncul di berbagai implementasi perangkat lunak serupa. Jika satu alat admin open-source memiliki masalah ini, ada kemungkinan besar alat lain juga memiliki kelemahan logika yang sebanding.
Untuk pengguna kripto, pelajaran praktisnya adalah bahwa 2FA diperlukan tetapi tidak cukup. Kunci keamanan perangkat keras, whitelist penarikan, dan pengaturan dompet multi-tanda tangan memberikan lapisan tambahan yang tidak akan dikompromikan hanya oleh bypass 2FA. Bursa dan penympan yang mengandalkan hanya 2FA berbasis perangkat lunak sebagai pertahanan utama sebaiknya mengevaluasi ulang arsitektur keamanan mereka mengingat temuan ini.
Kekhawatiran yang lebih luas adalah kurva akselerasi. Jika AI dapat menghasilkan zero-day fungsional hari ini yang menargetkan alat admin web, tidaklah terlalu jauh untuk membayangkan teknik serupa diterapkan pada kerentanan kontrak pintar, dompet ekstensi browser, atau sistem otentikasi API yang digunakan oleh platform perdagangan. Permukaan serangan di crypto sudah sangat luas. Generasi eksploit yang dibantu AI membuat pertahanan menjadi jauh lebih sulit.
Lihat, perlombaan senjata siber selalu menguntungkan pihak yang bergerak lebih cepat. Untuk pertama kalinya, penyerang memiliki alat yang dapat secara sistematis menguji kelemahan dengan kecepatan mesin. Google berhasil mendeteksi ini. Eksploit yang dihasilkan AI berikutnya mungkin tidak datang dengan jejak yang sepraktis ini, dan targetnya mungkin tidak memiliki tim sekelas GTIG yang mengawasi perimeter.