Ransomware & AI: Ancaman Claude Mythos bagi Keamanan
Anthropic dan Model AI yang "Terlalu Berbahaya" untuk Dirilis
Namun pengumuman ini perlu dilihat dalam konteks yang lebih luas. UK's AI Security Institute menemukan bahwa GPT-5.5 milik OpenAI — yang sudah tersedia secara umum — memiliki kemampuan yang sebanding. Perusahaan Aisle bahkan berhasil mereproduksi hasil yang dipublikasikan Anthropic menggunakan model yang lebih kecil dan lebih murah.
Ada juga faktor bisnis yang perlu dipertimbangkan. Claude Mythos sangat mahal untuk dijalankan, dan Anthropic tampaknya belum memiliki sumber daya untuk rilis umum. Membatasi akses sambil mengisyaratkan kemampuan luar biasa adalah cara yang efektif untuk mendongkrak valuasi perusahaan tanpa harus membuktikannya secara terbuka.
Realita yang Menakutkan: AI Semakin Jago Eksploitasi Celah Keamanan
Terlepas dari dinamika bisnis di baliknya, satu hal tetap benar dan mengkhawatirkan: sistem AI generatif modern — bukan hanya milik Anthropic, tetapi juga OpenAI dan model-model open-source lainnya — semakin canggih dalam menemukan dan mengeksploitasi vulnerability pada perangkat lunak. Ini berdampak besar pada lanskap keamanan siber secara keseluruhan, terutama dalam konteks penyebaran ransomware yang semakin masif dan sulit dideteksi.
Ancaman Ransomware dari Sisi Penyerang
Para penyerang akan memanfaatkan kemampuan AI untuk menemukan dan secara otomatis mengeksploitasi celah pada berbagai sistem. Mereka bisa menyusup ke infrastruktur kritis di seluruh dunia — untuk menanamkan ransomware demi keuntungan finansial, mencuri data untuk keperluan espionase, atau mengendalikan sistem di tengah situasi konflik. Serangan ransomware yang didukung AI berpotensi mengenkripsi ribuan sistem secara bersamaan sebelum tim keamanan sempat merespons. Dunia akan menjadi tempat yang jauh lebih berbahaya dan tidak stabil.
Untuk memahami skala ancaman ini lebih jauh, laporan terbaru dari CISA (Cybersecurity and Infrastructure Security Agency) menunjukkan bahwa serangan ransomware terhadap infrastruktur kritis terus meningkat setiap tahunnya, dan integrasi AI ke dalam rantai serangan akan mempercepat tren ini secara dramatis.
Peluang dari Sisi Pembela
Di sisi lain, para defender juga bisa memanfaatkan kemampuan yang sama untuk menemukan dan menambal celah sebelum dieksploitasi oleh pelaku ransomware. Sebagai contoh nyata, Mozilla menggunakan Mythos untuk menemukan 271 vulnerability di Firefox — semuanya telah diperbaiki dan tidak lagi bisa dimanfaatkan penyerang. Ke depannya, AI yang secara otomatis menemukan dan memperbaiki vulnerability akan menjadi bagian normal dari proses pengembangan perangkat lunak.
Jangka Pendek vs Jangka Panjang
Realitanya tidak sesederhana itu. Kita harus bersiap menghadapi gelombang serangan ransomware dan eksploitasi vulnerability baru, sekaligus frekuensi pembaruan perangkat lunak yang jauh lebih tinggi. Masalahnya, banyak sistem yang tidak bisa di-patch, dan banyak sistem yang sebenarnya bisa di-patch pun tidak mendapatkan pembaruan tepat waktu. Menemukan dan mengeksploitasi celah juga tampaknya lebih mudah daripada menemukan dan memperbaikinya — ini menunjukkan bahwa jangka pendek akan lebih berbahaya.
Namun dalam jangka panjang, gambarannya lebih optimis. Claude Mythos bukan satu-satunya model canggih, dan model-model yang akan datang pasti akan lebih powerful lagi. AI juga semakin baik dalam menulis perangkat lunak yang lebih aman. Pada akhirnya, AI-enhanced defenders akan memiliki keunggulan struktural dibandingkan AI-enhanced attackers — termasuk dalam menangkal serangan ransomware yang semakin canggih.
Bagi organisasi yang ingin mempersiapkan diri, memahami analisis mendalam Bruce Schneier tentang bahaya Mythos AI adalah titik awal yang sangat direkomendasikan.
Implikasi yang Lebih Luas: Melampaui Keamanan Perangkat Lunak
Yang paling menarik justru adalah implikasi di luar dunia siber. Kemampuan pencarian pola dan penalaran yang membuat model-model ini unggul dalam menganalisis kode perangkat lunak — dan dalam mengotomatisasi serangan ransomware — hampir pasti berlaku juga untuk sistem kompleks lainnya.
Celah Pajak dan Regulasi sebagai "Vulnerability"
Kode pajak bukan kode komputer, tetapi pada dasarnya ia adalah serangkaian algoritma dengan input dan output. Ia memiliki vulnerability — kita menyebutnya celah pajak (tax loopholes). Ia memiliki eksploitasi — kita menyebutnya strategi penghindaran pajak. Dan ia memiliki black hat hacker-nya sendiri: para pengacara dan akuntan.
Sama seperti model AI menemukan ratusan vulnerability dalam sistem perangkat lunak yang kompleks, kita seharusnya mengharapkan mereka sama efektifnya dalam menemukan celah pajak baru yang belum pernah teridentifikasi. Bank-bank investasi besar kemungkinan besar sudah mengerjakan ini secara diam-diam — memasukkan kode pajak AS, Inggris, atau mungkin setiap negara industri ke dalam sistem AI dan menugaskannya untuk mencari strategi penghematan. Berapa banyak celah yang akan ditemukan? Sepuluh? Seratus? Seribu?
Sebagai gambaran, Double Dutch Irish Sandwich adalah celah pajak yang melibatkan beberapa yurisdiksi pajak berbeda. Bisakah AI menemukan celah yang bahkan lebih kompleks dari itu? Kita belum tahu jawabannya.
Sistem Regulasi Lainnya Juga Rentan
Apa yang berlaku untuk kode pajak berlaku pula untuk sistem aturan kompleks lainnya. Model-model ini bisa ditugaskan untuk menemukan celah dalam regulasi lingkungan, aturan keamanan pangan, atau di mana pun terdapat sistem regulasi yang kompleks dan pihak-pihak berkuasa yang ingin menghindarinya. Dampaknya bisa jauh lebih buruk daripada sekadar sistem komputer yang tidak aman akibat serangan ransomware.
Celah pajak mengakibatkan berkurangnya pendapatan pemerintah, sementara celah regulasi memungkinkan pihak yang berkuasa untuk menghindari aturan — keduanya memiliki konsekuensi sosial yang luas. Dan sementara vendor perangkat lunak bisa menambal sistem mereka dalam hitungan hari, sebuah negara umumnya membutuhkan waktu bertahun-tahun untuk mengamandemen kode pajaknya. Proses itu pun bersifat politis, dengan lobi yang menekan para legislator agar tidak menutup celah tersebut. Lihat saja carried interest loophole di AS — celah pajak yang telah dieksploitasi selama puluhan tahun dan belum berhasil ditutup meski berbagai pemerintahan telah mencoba.
Langkah Mitigasi untuk Organisasi
Menghadapi ancaman ransomware yang diperkuat AI, organisasi perlu mengambil langkah-langkah konkret sekarang juga:
- Patch management yang agresif — prioritaskan pembaruan sistem secara berkala, terutama untuk infrastruktur yang terekspos ke internet.
- Segmentasi jaringan — batasi pergerakan lateral penyerang jika ransomware berhasil masuk ke dalam sistem.
- Backup terisolasi — simpan cadangan data di lokasi yang tidak terhubung langsung ke jaringan utama agar tidak ikut terenkripsi.
- Threat intelligence berbasis AI — gunakan alat keamanan yang juga memanfaatkan AI untuk mendeteksi pola serangan ransomware sebelum terjadi.
- Pelatihan kesadaran keamanan — sebagian besar serangan ransomware masih dimulai dari phishing; faktor manusia tetap menjadi titik lemah terbesar.
Kesimpulan
Teknologi AI siap untuk merombak banyak aspek masyarakat. Sama seperti revolusi industri memberi manusia kemampuan untuk mengonsumsi kalori di luar tubuh mereka dalam skala besar, revolusi AI akan memberi manusia kemampuan untuk melakukan tugas-tugas kognitif di luar tubuh mereka dalam skala besar. Sistem-sistem yang ada saat ini tidak dirancang untuk kecepatan kognisi seperti itu — dan ancaman ransomware yang ditenagai AI adalah bukti nyata dari kesenjangan ini.
Kita sudah menyaksikannya dalam gelombang vulnerability perangkat lunak yang ditemukan dan dieksploitasi oleh model-model AI. Dan kita akan segera melihatnya dalam gelombang celah pada berbagai sistem aturan lainnya. Beradaptasi dengan realita baru ini akan sangat sulit — tetapi kita tidak punya pilihan lain. Organisasi perlu mulai menyesuaikan strategi keamanan mereka sekarang, sebelum gelombang ransomware berbasis AI itu datang lebih deras.
Sumber: How Dangerous Is Anthropic's Mythos AI? — Schneier on Security
Join the conversation