Claude Opus 4,8 menemukan Bug $ 4,5 miliar, yang diproduksi secara massal selama era AI. Hackers
DI ERA KEAMANAN AI, KEMAMPUAN AKAN MENYEBAR SENDIRI DAN TANGGUNG JAWAB TIDAK AKAN。
Wen ZhengSleepy
Seseorang menggunakan Claude Opus 4.8 untuk menemukan bug yang menguapkan nilai pasar mata uang terenkripsi sebesar $4.5 miliar。
Titik awal adalah audit keamanan. Zcash adalah jaringan privasi lama yang melindungi informasi transaksional dengan bukti pengetahuan nol, dan Orchard adalah inti dari keterampilan privasinya。
Pada tanggal 29 Mei, peneliti keamanan Taylor Hornby, dalam sebuah audit dari perjanjian yang ditugaskan oleh Shield Labs, menemukan bahwa Orchard memiliki celah serius yang memungkinkan para penyerang untuk menciptakan token yang seharusnya tidak ada, yaitu, peningkatan yang tidak terbatas."。
Zcash kemudian menyelesaikan upgrade darurat dalam beberapa hari, secara resmi mengkonfirmasi bahwa sebuah celah memang ada, tetapi tidak mungkin untuk mengkonfirmasi apakah telah digunakan untuk issuance token tambahan. Xanía Zcash jatuh 50 persen setelah pernyataan resmi yang dikeluarkan pada 5 Juni。
Opus 4,8 buatan Anthropic dirilis pada 28 Mei, dan pada hari berikutnya celah ini ditemukan。
Tidak, Mythos, Opus
Cerita Zcash adalah yang menakutkan, bukan AI, tapi ini terlalu biasa kali ini。
Sebelum itu, ketakutan sesungguhnya dari industri keamanan adalah Claude Mythos Preview of Anthropic. Pada April 2026, Anthropic menerbitkan penilaian kemampuan keamanan siber, mengatakan bahwa Mythos Preview mampu mengidentifikasi dan menggunakan lubang nol hari di sistem operasi mainstream dan peramban dalam pengujian, beberapa di antaranya sangat tersembunyi dan mengintai selama lebih dari satu dekade, dan salah satu bug OpenBSD tertanggal bahkan 27 tahun yang lalu。
Penilaian tersebut juga menyatakan bahwa seorang insinyur tanpa latar belakang yang aman juga dapat memungkinkan Mythos Preview menghabiskan malam untuk mencari celah implementasi kode jarak jauh dan bangun keesokan harinya dan melihat set lengkap kode serangan yang tersedia。
Ini berarti bahwa kemampuan jangka panjang, yang sebelumnya hanya dipegang oleh sejumlah kecil orang, adalah menjadi layanan yang dapat diakses oleh siapa pun. Kemampuan ini tidak memiliki posisi dalam dirinya sendiri, dan perbedaan terletak pada siapa yang menggunakannya dan apa yang digunakan untuk melakukan。
Antropis sendiri mengerti itu. Jadi itu mendapat Project Glasswing, pertama menyerahkan Mythos Preview ke beberapa organisasi untuk pekerjaan keamanan pertahanan. Ia juga mengakui bahwa model level ini membutuhkan perlindungan yang lebih besar dan batasan penggunaan yang lebih kaku untuk terbuka bagi semua。
Namun dalam kasus ini Zcash, para teknisi tidak menggunakan Mythos, yang masih terkunci, tetapi Opus 4.8, yang diterbitkan, digunakan, dan memasuki aliran manusia normal。
AI telah memasuki lapangan keamanan, menyediakan tim kecil dengan kapasitas audit tim besar. Ini memungkinkan pembela untuk menemukan bug lebih cepat dan penyerang untuk membaca sistem lebih cepat。
Selain itu, model yang paling berbahaya belum tentu yang terkuat, tetapi model yang cukup kuat, murah dan cukup universal。
SEMAKIN BIASA MODELNYA, SEMAKIN BANYAK ORANG YANG BISA MENGAMBILNYA. JADI PERTANYAANNYA BUKAN APAKAH AI DAPAT MENEMUKAN CELAH, TAPI APA YANG TERJADI KETIKA SEMUA ORANG DAPAT MENEMUKANNYA。
Saat mencari Bug, berubah menjadi gerakan massa
AI AKAN MENEMUKAN DUA HAL KETIKA ITU MURAH。
Laporan keamanan palsu, dengan sejumlah besar laporan keamanan yang tampaknya layak dan tidak tervalidasi secara fisik. Yang lainnya benar, dan celah yang dulunya tersembunyi jauh di dalam sistem, yang membutuhkan waktu berminggu-minggu atau berbulan-bulan untuk menemukan, mulai berubah menjadi lebih cepat。
Yang sebelumnya akan membanjiri penjaga dan yang terakhir akan menembus sistem. Dan bahkan lebih merepotkan, mereka akan datang pada saat yang sama。
Keamanan siber memiliki satu set narasi yang ideal: topi putih menemukan lubang, pengungkapan yang bertanggung jawab, produsen diperbaiki dan pengguna diuntungkan。
Banyak kali di masa lalu, dunia memang mengikuti narasi itu. Tapi ketika AI mendorong ke bawah ambang "penemuan celah" ketika setiap orang bisa mencari bug dalam model terbuka, itu datang dengan banyak orang yang menginginkan hadiah dan reputasi. Banyak dari mereka hanya menyalin petunjuk yang memungkinkan model itu menghasilkan laporan yang layak. Laporan belum tentu benar。
Tapi apakah itu benar atau tidak, pembela harus menganggapnya serius。
OpenSSF mengadakan diskusi tentang laporan sampah "AI" pada Februari 2026, berfokus pada bagaimana pengelola sumber terbuka harus menangani laporan kebocoran kualitas rendah, AI-generated. AI. OpenSSF mengatakan laporan semacam ini terlihat seperti DDoS, kecuali itu menyerang perhatian orang。
Penyelenggara sumber terbuka bukan pusat layanan pelanggan. Banyak dari mereka tidak dibayar, tidak memiliki tim keamanan atau jadwal. Tapi proyek mungkin mendukung sistem bisnis yang tak terhitung jumlahnya di seluruh dunia, dan perusahaan yang menghemat biaya besar dari sumber terbuka tidak harus membayar pembela satu sen; tetapi setelah sesuatu terjadi, mereka kembali dan bertanya mengapa mereka tidak memperbaikinya lebih awal。
courl kemudian menutup proyek hadiah kebocoran karena orang tidak bisa datang. laporan keamanan akan menjadi bagian dari garis pertahanan, tetapi ketika laporan telah diisi dengan sampah, garis akan pada gilirannya dikonsumsi orang-orang yang berada di belakangnya。
AIA MEMBERIKAN LEBIH BANYAK ORANG KEMAMPUAN UNTUK MELAPORKAN CELAH, TETAPI TIDAK KEMAMPUAN UNTUK MENILAI APAKAH ATAU TIDAK MEREKA. KEMAMPUAN MODEL UNTUK MENGHASILKAN LAPORAN TIDAK BERARTI BAHWA IA DAPAT MEMAHAMINYA; BUKAN BERARTI IA DAPAT BERJALAN MELALUI SEPOTONG KODE AUTENTIKASI, ATAU BAHWA IA DAPAT MENGATAKAN SEBERAPA BESAR PENGARUHNYA。
DAN APA LAGI, KITA SEBENARNYA TINGGAL DI DUNIA DI MANA ADA BANYAK LUBANG YANG BENAR-BENAR DAPAT DITEMUKAN DENGAN AI。
Kami aman di masa lalu
Internet memberi orang ilusi terbesar bahwa apa yang bekerja dapat diandalkan。
Telepon seluler dapat membayar, kereta bawah tanah dapat menyapu, rumah sakit dapat memasang nomor; bahkan gambar Anda sepuluh tahun yang lalu berada di awan, Anda melupakannya. Hal-hal ini bekerja setiap hari, jadi kami setuju bahwa mereka tidak memiliki masalah sama sekali. Kepercayaan orang-orang pada teknologi adalah, dalam banyak kasus, bukan kepercayaan, tapi keraguan。
Tetapi kode itu seperti bangunan lama yang dibangun, di bawah perjanjian lama, lemari besi lama, dengan kebutuhan sementara dan "pertama-pertama- di atasnya, dengan kode leluhur yang tidak ada yang berani menghapus. Lampu di gedung menyala, lift naik turun, dan properti mengatakan semuanya normal. Tak ada yang tahu jika ada celah di dinding。
Heartbleed adalah klasik. Sebuah celah di OpenSSL memungkinkan penyerang untuk membaca kunci dan sandi pribadi dalam memori server, yang tidak ditemukan dan diperbaiki sampai 2014. Sebelum itu, situs ini telah mengintai selama lebih dari dua tahun, ketika lebih dari 60 persen situs web aktif di seluruh dunia berjalan di server yang terkena dampak. Dalam dua tahun, sebagian besar Internet hampir telanjang, dan tidak ada yang tahu。
Dan Sudo Baron Samedit. Qualys mengungkapkannya pada tahun 2021 bahwa celah ini telah ada di Sudo selama hampir 10 tahun dan bahwa Sudo adalah salah satu alat yang paling umum digunakan di dunia。
Ada banyak contoh serupa. Dengan melihat mereka bersama-sama, tiba-tiba terasa seperti kita beruntung bisa melayari internet dengan aman sampai hari ini。
Kenapa lubang ini belum ditemukan begitu lama
Jawabannya sederhana: mencari celah terlalu mahal。
Biayanya bukan hanya uang, tapi waktu dan kesabaran. Untuk membaca kode, mengatur lingkungan, memahami protokol, mengulangi kondisi perbatasan, menulis kode autentikasi, dan menilai dampaknya, Anda harus melihat apa yang salah. Kadang-kadang program berjalan sepanjang malam tanpa hasil, dan satu jalan berakhir dan tidak bekerja. Kenyataannya, peneliti keamanan dan peretas sering menyiksa satu sama lain dengan banyak rincian yang rusak。
Banyak celah di masa lalu dapat disimpan selama itu, bukan karena mereka begitu misterius, tetapi karena ada terlalu sedikit yang bersedia, mampu dan bersedia untuk terus mencari。
AIA MENGUBAH STRUKTUR BIAYA INI。
Terlalu banyak tanduk dan terlalu sedikit lampu suluh. Sekarang lampu suluh akan diedarkan。
Lampu suluh yang sama dapat dilihat di celah dan di mana dapat diambil. Momen itu membuat "penemuan"lebih murah, itu juga membuat "serangan" lebih murah. Orang yang menggunakannya hari ini untuk mengajukan laporan berkualitas rendah untuk proyek open-source akan dapat membersihkan sistem perusahaan dengan cara yang sama besok; pikiran hari ini adalah tentang imbalan kebocoran, dan pikiran besok mungkin tentang uang di rantai。
Di balik Internet normal
Sebelum sesuatu terjadi, kita tidak bisa merasakan keberadaan keamanan internet。
Anda membuka harta pembayaran, menyapu, pembayaran, tagihan, seluruh proses mungkin kurang dari tiga detik. Anda tidak dapat membayangkan berapa banyak aturan kontrol angin, sidik jari peralatan, pengenalan perilaku, konfrontasi gelap-keluar, respon kebocoran dan perencanaan kontingensi di balik ini。
Pada bulan Mei 2026, AntSRC, AntSRC, sebuah ant Safety Response Centre, melakukan sebuah "Operation Hunter" menganga insentif, yang diuji untuk menutupi pembayaran harta, bunga, pinjaman, kekayaan semut, pengedar jaringan, digital dan semut International. Keriskan tinggi, celah serius dalam transaksi pembayaran, dana dan tagihan diberikan hingga maksimum lima kali lipat insentif berjumlah $71.500。
Hal ini juga jelas bagi tanaman besar bahwa mereka tidak dapat menemukan semua masalah oleh tim internal mereka sendiri saja, sehingga diperlukan untuk mengatur topi putih eksternal ke dalam proses formal. Keamanan Kebidanan lebih seperti rantai panjang kolaborasi: serangan terdeteksi, diverifikasi, dinilai, diperbaiki, diterbitkan, dan orang harus difokuskan untuk tidak menyakiti pengguna normal. Tak ada bagian dari rantai ini yang bisa dihancurkan。
Dalam laporan postur keamanan 2025 Oktober, Aliyun menulis bahwa platform awan telah rata-rata 62,45 miliar serangan pelanggan-deunct per hari, dengan larangan pada IP jahat 27,5 juta; dan bulan itu, memantau dan mencegat serangan DDoS 10,28 juta kali, memuncak pada 2100 Gbps。
Apa yang biasa kita sebut "akses internet normal" sebenarnya adalah jalan sempit yang telah diambil oleh para insinyur keamanan bagi kita dari anomali massa. Internet tidak pernah tenang。
Penyelenggara sumber terbuka tidak memiliki anggaran, tidak ada jadwal, tidak ada tim respon darurat; tanaman besar dapat membeli ini. Namun, bahkan tanaman besar dapat mengandalkan rantai panjang kolaborasi manusia sampai sejauh mana mereka tidak dirasakan oleh pengguna biasa。
DAN INI PANJANG, RANTAI TIPIS KOLABORASI SUDAH PENUH SEBELUM AI INTERVENSI BESAR. SEKARANG ANDA MENUANGKAN CELAH GANDA, LAPORAN GANDA. APAKAH CUKUP UNTUK MEMPERTAHANKAN AKHIR INI
Siapa yang akan memperbaikinya ketika kita menemukan celah
WANNY THE 2024 CYBERSECURITY TALENT REPORT DARI ISC2 MEMPERKIRAKAN BAHWA ADA SEKITAR 5,5 JUTA PRAKTISI KEAMANAN CYBER AKTIF SECARA GLOBAL, SEMENTARA KESENJANGAN BAKAT MENCAPAI 4,8 JUTA, PENINGKATAN 19 PERSEN SELAMA PERIODE YANG SAMA. SECARA KHUSUS, INI MENJELASKAN BAHWA \"GAP\" INI BUKANLAH JUMLAH PEKERJAAN YANG DIPOSTING DI WEBSITE PEREKRUTAN, TETAPI LEBIH KEPADA KESENJANGAN ANTARA ORANG-ORANG ORGANISASI PERCAYA BAHWA PERLU DILINDUNGI SECARA MEMADAI DAN ORANG-ORANG YANG BENAR-BENAR TERSEDIA。
Nomor yang disusun ini berarti sederhana: ada banyak celah dan tidak cukup orang。
DAN BUKAN HANYA KEKURANGAN KEPALA MANUSIA, TAPI KEKURANGAN ORANG DENGAN PEKERJAAN YANG RUMIT. DARI ISC2 JUGA DISEBUTKAN BAHWA 67 PERSEN RESPONDEN MENYATAKAN BAHWA KEKURANGAN PERSONEL KEAMANAN JARINGAN DALAM ORGANISASI MEREKA, 58 PERSEN DI ANTARANYA MERASA BAHWA KEKURANGAN INI MENEMPATKAN ORGANISASI DENGAN RISIKO YANG SIGNIFIKAN. TIGA PULUH SATU PERSEN MENGATAKAN BAHWA TIM KEAMANAN MEREKA TIDAK MEMILIKI STAF TINGKAT MASUK, DAN 15 PERSEN MENGATAKAN BAHWA TIDAK ADA STAF JUNIOR DENGAN PENGALAMAN 1-3 TAHUN. BANYAK ORGANISASI YANG TIDAK HANYA KEKURANGAN SUMBER DAYA MANUSIA, TETAPI JUGA SARANA UNTUK MEMPERSIAPKAN GENERASI BERIKUTNYA。
Ini lebih masalah daripada tidak mendapatkan siapa pun. Hari ini tidak ada yang direkrut, tidak ada staf junior dan tidak ada yang akan direkrut。
AI ERA JUGA MENYEDIAKAN SEPERANGKAT DATA: PADA TAHUN 2025, 46,2 PERSEN PEKERJA YANG DIWAWANCARAI MEMPEROLEH PENDAPATAN ANTARA $ 200.000 DAN $300.000 PER TAHUN SEBELUM PAJAK. PASARAN-PASARAN YANG BERKEINGINAN MEMBAYAR UNTUK ORANG-ORANG HARD-CORE, KARENA ADA TERLALU SEDIKIT ORANG YANG BENAR-BENAR DAPAT MENANGANI ANCAMAN KOMPLEKS DAN HAKIM DALAM KECELAKAAN. LAPORAN TERSEBUT JUGA MENUNJUKKAN BAHWA 56,5 PERSEN PRAKTISI MENGATAKAN AI TELAH LEBIH MENEKANKAN PADA MENGANALISIS ANCAMAN KOMPLEKS, DAN 33,0 PERSEN MENUNJUKKAN BAHWA MEREKA BERGERAK DARI IMPLEMENTASI KE PENGEMBANGAN STRATEGI。
Ini penting。
Apa yang paling kita butuhkan sekarang adalah seseorang yang dapat membaca celah di tengah malam, menilai dampaknya, mengkoordinasikan hulu dan hilir, dan menulis patch. Keamanan tidak pernah menjadi bisnis cahaya, tapi itu adalah bisnis kotor. Ambil kata "net keamanan" terpisah. Ini hanya laporan palsu, ransel, patch tak berujung, pertemuan tak berujung, dan panggilan telepon yang membangunkanmu jam 3 pagi。
Tak pernah hilang
Camus menulis novel yang berjudul Wabah。
Ceritanya terjadi di sebuah kota kecil di Afrika Utara. Wabah itu tiba-tiba pecah, gerbang ditutup dan semua orang terperangkap di dalam. Kehidupan sehari-hari di siang hari. Orang panik, lalu mati rasa, lalu terbiasa. Hingga akhirnya wabah reda, gerbang dibuka kembali dan tawa ditambahkan di jalanan。
Kemua menyimpulkan novelnya dengan mengatakan: "Menurut catatan medis, wabah tersebut tidak akan pernah mati atau menghilang, dan mereka akan bertahan dalam perabotan, pakaian dan pakaian selama puluhan tahun; mereka akan menunggu dengan sabar di kamar, ruang bawah tanah, kotak perjalanan, sapu tangan dan kertas. Mungkin suatu hari wabah akan membangunkan kawanannya, dan mereka akan dimakamkan di kota bahagia, yang akan membawa kembali sakit dan pelajaran baru
Aku selalu merasa bahwa ini adalah kata yang baik untuk celah jaringan。
Ia tidak dilahirkan pada hari ia ditemukan. Itu tergeletak dalam kode lama lalu, dan tidak ada yang mendengarnya bernapas, jadi kami mengira diam untuk keselamatan。
KAMI DIGUNAKAN UNTUK HARI KE HARI, TIDAK LAGI CURIGA, DAN MEREKA SEMUA PADA KODE. KODE TERSEBUT BERISI UTANG LAMA, YANG PADA MASA LALU TIDAK HARUS DILUNASI KARENA JUMLAH KECIL ORANG YANG HARUS MEMBAYAR. KETIKA AI DATANG, ADA BANYAK ORANG YANG HARUS MEMBAYAR。
Bukan hanya hacker yang mendapatkan lebih banyak. Di sisi lain sistem, jumlah orang yang berurusan dengan masalah tidak berubah secara proporsional。
ITU BAGIAN TERSULIT DARI ERA KEAMANAN. KEKAPASAAN YANG MENYEBAR SENDIRI, DAN TANGGUNG JAWAB TIDAK; MENEMUKAN CELAH MENJADI LEBIH MURAH DAN MEMPERBAIKINYA SAMA MAHALNYA SEPERTI SEBELUMNYA. KERUSAKAN DAPAT DIREPLIKASI BERKALI-KALI OLEH SKRIP, TETAPI KEPERCAYAAN HANYA DAPAT PERLAHAN PULIH OLEH SATU SISTEM DAN SATU TIM。
AI TIDAK AKAN MENGHANCURKAN INTERNET DALAM SEMALAM. LEBIH SEPERTI MENYALAKAN LAMPU. AKHIRNYA, KITA MELIHAT BAHWA KEHIDUPAN DIGITAL BUKANLAH SUATU TATANAN ALAM YANG OTOMATIS, MELAINKAN SEKELOMPOK ORANG YANG SETIAP HARI MENJAGA TEKANAN RISIKO DI BAWAH APA YANG KITA RASAKAN。
Apa yang benar-benar mahal tidak menemukan celah. Tidak cukup orang yang mau memperbaiki lubang satu per satu。
