Claude Opus 4.8 menemukan $4,5 miliar Bug, yang diproduksi dalam jumlah besar selama era AI. Hacker

Wen ZhengSleepy

Seseorang menggunakan Claude Opus 4.8 untuk menemukan bug yang menguap nilai pasar dari mata uang terenkripsi sebesar $4,5 miliar。

Titik awal adalah audit keamanan. Zcash adalah jaringan privasi lama yang melindungi informasi transaksional dengan bukti pengetahuan, dan Orchard adalah inti dari keterampilan privasinya。

Pada 29 Mei, peneliti keamanan Taylor Hornby, dalam audit perjanjian yang ditugaskan oleh Shield Labs, menemukan bahwa Orchard memiliki celah serius yang memungkinkan penyerang untuk menciptakan tanda yang seharusnya tidak ada, yaitu, "peningkatan yang tak terbatas"。

Zcash kemudian menyelesaikan upgrade darurat dalam beberapa hari, resmi mengkonfirmasi bahwa celah itu ada, tetapi tidak mungkin untuk mengkonfirmasi apakah itu telah digunakan untuk penerbitan token tambahan. Zcash jatuh sebesar 50 persen setelah pernyataan resmi dikeluarkan pada 5 Juni。

Anthropic 's Opus 4.8 dirilis pada 28 Mei, dan hari berikutnya celah ini ditemukan。

Tidak, Mythos, Opus

Cerita Zcash adalah satu menakutkan, bukan AI, tapi terlalu biasa kali ini。

Sebelumnya, ketakutan nyata dari industri keamanan adalah Claude Mythos Preview dari Anthropic. Pada April 2026, Anthropic menerbitkan penilaian tentang kemampuan keamanan cyber, mengatakan bahwa Mythos Pratilik mampu mengidentifikasi dan menggunakan lubang zero- hari dalam sistem operasi utama dan browsers dalam pengujian, beberapa di antaranya sangat tersembunyi dan bersembunyi selama lebih dari satu dekade, dan salah satu bug OpenBSD ini tanggal bahkan 27 tahun yang lalu。

Penilaian tersebut juga menyatakan bahwa seorang insinyur tanpa latar belakang yang aman dapat juga memungkinkan Mythos Preview untuk menghabiskan malam mencari celah implementasi kode remote dan bangun keesokan harinya dan melihat set lengkap kode serangan yang tersedia。

Ini berarti bahwa kemampuan jangka panjang, sebelumnya hanya dipegang oleh sejumlah kecil orang, menjadi layanan yang dapat diakses oleh siapa pun. Kemampuan ini tidak memiliki posisi dalam dirinya sendiri, dan perbedaannya terletak pada siapa yang menggunakannya dan apa yang digunakan untuk melakukannya。

Anthropic sendiri mengerti itu. Jadi Proyek Glasswing, pertama kali menyerahkan Mythos Preview ke beberapa organisasi untuk pekerjaan keamanan defensif. Hal ini juga mengakui bahwa model tingkat ini memerlukan perlindungan yang lebih besar dan keterbatasan penggunaan yang lebih kaku untuk terbuka bagi semua orang。

Tapi dalam kasus ini Zcash, teknisi tidak menggunakan Mythos, yang masih terkunci, tapi Opus 4.8, yang diterbitkan, digunakan, dan memasuki aliran manusia normal。

AI telah memasuki lapangan keamanan, menyediakan tim kecil dengan kapasitas audit tim besar. Hal ini memungkinkan pembela untuk menemukan bug lebih cepat dan penyerang untuk membaca sistem lebih cepat。

Selain itu, model yang paling berbahaya tidak selalu yang terkuat, tetapi model yang cukup kuat, cukup murah dan cukup universal。

SEMAKIN BIASA MODEL, SEMAKIN BANYAK ORANG DAPAT MENGAMBILNYA. JADI PERTANYAANNYA BUKAN APAKAH AI DAPAT MENEMUKAN CELAH, TAPI APA YANG TERJADI KETIKA SEMUA ORANG DAPAT MENEMUKANNYA。

Ketika mencari Bug, berubah menjadi gerakan massa

AI AKAN MENEMUKAN DUA HAL KETIKA ITU MURAH。

Sebuah laporan keamanan palsu, dengan sejumlah besar laporan keamanan yang tampaknya layak dan fisik unvalidated. Yang lain benar, dan celah yang digunakan untuk disembunyikan jauh di dalam sistem, yang mengambil para ahli minggu atau bulan untuk menemukan, mulai berubah lebih cepat。

Mantan akan membanjiri pengelola dan yang terakhir akan menembus sistem. Dan bahkan lebih merepotkan, mereka akan datang pada waktu yang sama。

Keamanan dunia maya memiliki satu set narasi yang ideal: topi putih menemukan lubang, pengungkapan yang bertanggung jawab, produsen diperbaiki dan pengguna diuntungkan。

Banyak kali di masa lalu, dunia memang mengikuti cerita itu. Tetapi ketika AI menekan ambang batas dari "penemuan celah" ketika semua orang bisa mencari bug dalam model terbuka, itu datang dengan banyak orang yang ingin hadiah dan reputasi. Banyak dari mereka hanya meniru petunjuk yang memungkinkan model untuk menghasilkan laporan yang layak. Laporan ini belum tentu benar。

Tapi apakah itu benar atau tidak, pembela harus menganggapnya serius。

OpenSSF mengadakan diskusi tentang "laporan sampah AI" pada bulan Februari 2026, berfokus pada bagaimana pengelola sumber terbuka harus berurusan dengan kualitas rendah, laporan kebocoran hasil. Curl telah melaporkan bahwa pada tahun 2025 hanya sekitar 5% dari pengiriman imbalan adalah celah yang benar, dan sekitar 20% tampak seperti konten berkualitas rendah yang dihasilkan oleh AI. OpenSSF mengatakan laporan semacam ini tampak seperti DDoS, kecuali menyerang perhatian orang。

Pengelola open source bukanlah pusat pelayanan pelanggan. Banyak dari mereka yang belum dibayar, tidak memiliki tim keamanan atau jadwal. Tapi sebuah proyek dapat mendukung sistem bisnis yang tak terhitung jumlahnya di seluruh dunia, dan perusahaan yang menghemat biaya besar dari sumber terbuka tidak selalu membayar pembela sepeser pun, tetapi sekali sesuatu terjadi, mereka kembali dan bertanya mengapa mereka tidak memperbaikinya sebelumnya。

curl kemudian menutup proyek hadiah kebocoran karena orang tidak bisa membuatnya. laporan keamanan akan menjadi bagian dari garis pertahanan, tetapi ketika laporan telah diisi dengan sampah, garis akan memiliki pada gilirannya dikonsumsi orang-orang yang di belakangnya。

AI MEMBERIKAN LEBIH BANYAK ORANG KEMAMPUAN UNTUK MELAPORKAN CELAH, TAPI TIDAK KEMAMPUAN UNTUK MENILAI APAKAH MEREKA. KEMAMPUAN MODEL UNTUK MENGHASILKAN LAPORAN TIDAK BERARTI BAHWA IA DAPAT MEMAHAMINYA; TIDAK BERARTI BAHWA MODEL DAPAT BERJALAN MELALUI SEPOTONG KODE OTENTIKASI, ATAU BAHWA IA DAPAT MENGATAKAN BERAPA BANYAK ITU MEMPENGARUHI。

TERLEBIH LAGI, KITA HIDUP DI DUNIA DI MANA ADA BANYAK LUBANG YANG DAPAT DITEMUKAN DENGAN AI。

Kita aman di masa lalu

Internet memberi orang ilusi terbesar bahwa apa yang bekerja dapat diandalkan。

Ponsel dapat membayar, kereta bawah tanah dapat menyapu, rumah sakit dapat memasang nomor; bahkan gambar Anda sepuluh tahun yang lalu ada di awan, Anda lupa. Hal ini bekerja setiap hari, jadi kita setuju bahwa mereka tidak memiliki masalah sama sekali. Kepercayaan orang dalam teknologi adalah, dalam banyak kasus, bukan kepercayaan, tapi keraguan。

Tapi kodenya seperti bangunan tua yang dibangun, di bawah perjanjian lama, kubah tua, dengan kebutuhan sementara dan "First-on-line" di atasnya, dengan kode leluhur yang tidak ada yang berani menghapus. Lampu di gedung menyala, lift naik dan turun, dan properti mengatakan semuanya normal. Tak ada yang tahu jika ada celah di dinding。

Jantung berdarah adalah klasik. Sebuah celah di OpenSSL memungkinkan penyerang untuk membaca kunci pribadi dan sandi dalam memori server, yang tidak ditemukan dan diperbaiki sampai 2014. Sebelum itu, situs tersebut telah mengintai selama lebih dari dua tahun, ketika lebih dari 60 persen dari situs web aktif di seluruh dunia berjalan pada server yang terpengaruh. Dalam dua tahun, sebagian besar internet hampir telanjang, dan tidak ada yang tahu。

Dan Baron Sudo Samedit. Qualys mengungkapkan hal itu pada tahun 2021 bahwa celah ini telah ada di Sudo selama hampir 10 tahun dan bahwa Sudo adalah salah satu yang paling sering digunakan perangkat berwenang di dunia。

Ada banyak contoh yang sama. Dengan melihat mereka bersama-sama, tiba-tiba terasa seperti kita beruntung untuk dapat surfing Internet aman sampai hari ini。

Mengapa lubang-lubang ini tidak ditemukan begitu lama

Jawabannya sederhana: mencari celah terlalu mahal。

Biaya bukan hanya uang, tapi waktu dan kesabaran. Untuk membaca kode, mengatur lingkungan, memahami protokol, mengulangi kondisi perbatasan, menulis kode otentikasi, dan menilai dampak, Anda harus melihat apa yang salah. Kadang-kadang program berjalan sepanjang malam tanpa hasil, dan satu jalan berakhir dan tidak bekerja. Pada kenyataannya, peneliti keamanan dan hacker sering menyiksa satu sama lain dengan sekelompok rincian yang rusak。

Banyak celah di masa lalu dapat disimpan selama itu, bukan karena mereka begitu misterius, tetapi karena ada terlalu sedikit yang bersedia, mampu dan bersedia untuk terus mencari。

AI MENGUBAH STRUKTUR BIAYA INI。

Terlalu banyak tanduk dan terlalu sedikit senter. Sekarang senter akan didistribusikan。

Senter yang sama dapat dilihat di celah-celah dan di mana dapat diambil. Saat itu membuat "penemuan" lebih murah, juga membuat "serangan" lebih murah. Seseorang yang menggunakannya hari ini untuk mengirimkan laporan berkualitas rendah kepada proyek-proyek open source akan dapat membersihkan sistem perusahaan dengan cara yang sama besok; pikiran hari ini adalah tentang hadiah kebocoran, dan pikiran besok mungkin tentang uang pada rantai。

Di balik Internet normal

Sebelum sesuatu benar-benar terjadi, kita tidak bisa merasakan keberadaan keamanan internet。

Anda membuka harta pembayaran, menyapu, pembayaran, tagihan, seluruh proses mungkin kurang dari tiga detik. Anda tidak bisa membayangkan berapa banyak aturan kontrol angin, sidik jari peralatan, pengenalan perilaku, konfrontasi gelap, tanggapan bocor dan perencanaan kontingensi berada di balik ini。

Pada Mei 2026, AntSRC, AntSRC, AntSRC, Anant Safety Response Centre, melakukan insentif "Operasi Hunter" gating, yang diuji untuk menutupi pembayaran harta karun, bunga, pinjaman, kekayaan semut, pedagang jaringan, digital dan semut Internasional. Risiko tertinggi, celah serius dalam transaksi pembayaran, dana dan tagihan yang diberikan hingga maksimum lima kali lipat insentif hingga $71.500。

Hal ini juga jelas untuk tanaman besar bahwa mereka tidak bisa menemukan semua masalah oleh tim internal mereka sendiri sendiri, sehingga diperlukan untuk mengatur luar topi putih ke dalam proses formal. Keamanan lebih seperti rantai kolaborasi yang panjang: serangan terdeteksi, diverifikasi, dinilai, diperbaiki, diterbitkan, dan masyarakat harus fokus pada tidak menyakiti pengguna normal. Tidak ada bagian dari rantai ini dapat rusak。

Pada laporan keamanan 2025 Oktober 2025, Aliyun menulis bahwa platform awan telah mencapai rata-rata 62.45 miliar serangan pelontar per hari, dengan larangan pada IP 27.5 juta berbahaya, dan bulan itu, memantau dan mencegat DDoS menyerang 10.28 juta kali, memuncak pada 2100 Gbps。

Apa yang biasanya kita sebut "akses internet normal" sebenarnya adalah jalan sempit yang diambil oleh para insinyur keamanan dari anomali massal. Internet tidak pernah tenang。

Pemilik sumber terbuka tidak memiliki anggaran, tidak ada jadwal, tidak ada tim tanggap darurat; tanaman besar dapat membeli ini. Namun, bahkan tanaman besar dapat mengandalkan rantai panjang kolaborasi manusia sampai batas bahwa mereka tidak dirasakan oleh pengguna biasa。

DAN HUBUNGAN KERJA SAMA YANG PANJANG DAN TIPIS INI SUDAH PENUH SEBELUM CAMPUR TANGAN AI YANG BESAR. SEKARANG KAU MENUANGKAN CELAH GANDA, LAPORAN GANDA. APAKAH CUKUP UNTUK MEMPERTAHANKAN AKHIR INI

Siapa yang akan memperbaikinya ketika kita menemukan celah

LAPORAN TALENT CYBERSECURITY 2024 MEMPERKIRAKAN ADA SEKITAR 5,5 JUTA PRAKTISI CYBERSECURITY AKTIF SECARA GLOBAL, SEMENTARA KESENJANGAN BAKAT MENCAPAI 4.8 JUTA, PENINGKATAN 19 PERSEN SELAMA PERIODE YANG SAMA. INI MENJELASKAN, KHUSUSNYA, BAHWA "GAP" INI BUKANLAH JUMLAH PEKERJAAN YANG DIPOSTING DI SITUS PEREKRUTAN, MELAINKAN KESENJANGAN ANTARA ORANG-ORANG YANG ORGANISASI PERCAYA BAHWA ITU PERLU DILINDUNGI SECARA CUKUP DAN ORANG-ORANG YANG BENAR-BENAR TERSEDIA。

Angka ini berarti sederhana: ada banyak celah dan tidak cukup orang。

DAN ITU BUKAN HANYA KURANGNYA KEPALA MANUSIA, ITU ADALAH KEKURANGAN ORANG DENGAN PEKERJAAN YANG KOMPLEKS. ISC2 JUGA MENYEBUTKAN BAHWA 67 PERSEN RESPONDEN MENYATAKAN BAHWA ADA KEKURANGAN PERSONIL JARINGAN KEAMANAN DALAM ORGANISASI MEREKA, 58 PERSEN DARI MEREKA MERASA BAHWA KEKURANGAN INI MENEMPATKAN ORGANISASI DALAM RESIKO YANG SIGNIFIKAN. TIGA PULUH SATU PERSEN MENGATAKAN BAHWA TIM KEAMANAN MEREKA TIDAK MEMILIKI STAF TINGKAT MASUK, DAN 15 PERSEN MENGATAKAN BAHWA TIDAK ADA STAF JUNIOR DENGAN 1-3 TAHUN PENGALAMAN. BANYAK ORGANISASI TIDAK HANYA KEKURANGAN SUMBER DAYA MANUSIA TAPI JUGA SARANA UNTUK MEMPERSIAPKAN GENERASI BERIKUTNYA。

Ini lebih masalah daripada tidak mendapatkan siapa pun. Hari ini tidak ada yang direkrut; tidak ada staf junior dan tidak ada yang akan direkrut。

LAPORAN NASIONAL TENTANG PENGEMBANGAN BAKAT DI CYBERSECURITY INDUSTRI DI AI ERA JUGA MENYEDIAKAN SATU SET DATA: PADA TAHUN 2025, 46.2 PERSEN PEKERJA DIWAWANCARAI YANG DIPEROLEH ANTARA $200.000 DAN $300,000 SETAHUN SEBELUM PAJAK. PASAR BERSEDIA MEMBAYAR UNTUK ORANG-ORANG PALING KERAS, KARENA ADA TERLALU SEDIKIT ORANG YANG BENAR-BENAR DAPAT MENANGANI ANCAMAN KOMPLEKS DAN MENILAI DALAM KECELAKAAN. LAPORAN TERSEBUT JUGA MENUNJUKKAN BAHWA 56,5 PERSEN PRAKTISI MENGATAKAN AL TELAH MENEMPATKAN LEBIH MENEKANKAN PADA ANALISIS ANCAMAN KOMPLEKS, DAN 33.0 PERSEN MENUNJUKKAN BAHWA MEREKA BERGERAK DARI IMPLEMENTASI UNTUK PENGEMBANGAN STRATEGI。

Ini sangat penting。

Apa yang paling kita butuhkan sekarang adalah seseorang yang dapat membaca celah di tengah malam, menilai dampaknya, mengkoordinasikan hulu dan hilir, dan menulis patch. Keamanan tidak pernah menjadi bisnis cahaya, tapi itu adalah bisnis kotor. Ambil kata "keamanan bersih" terpisah. Ini hanya laporan palsu, ransel, patch tak berujung, pertemuan tak berujung, dan panggilan telepon yang membangunkanmu di 3: 00 pagi。

Tidak pernah menghilang

Camus menulis sebuah novel yang disebut wabah。

Cerita itu terjadi di sebuah kota kecil di Afrika Utara. Wabah tiba-tiba pecah, gerbang ditutup dan semua orang terjebak di dalam. Kehidupan sehari-hari istirahat semalam. Orang-orang panik, lalu mati rasa, lalu terbiasa. Sampai akhirnya wabah surut, gerbang dibuka kembali dan tawa ditambahkan di jalanan。

Kamu menyimpulkan novelnya dengan mengatakan: "Menurut catatan medis, wabah tidak akan pernah mati atau menghilang, dan mereka akan bertahan hidup di furnitur, pakaian dan pakaian selama beberapa dekade; mereka akan menunggu dengan sabar di kamar-kamar, kotak-kotak perjalanan, sapu tangan dan kertas. Mungkin suatu hari wabah akan membangunkan ternaknya, dan mereka akan dimakamkan di kota yang bahagia, yang akan membawa kembali penyakit dan pelajaran baru

Aku selalu merasa bahwa ini adalah kata yang baik untuk celah jaringan。

Itu tidak lahir pada hari itu ditemukan. Itu terletak dalam kode lama, dan tidak ada yang mendengarnya bernapas, jadi kami salah mengira diam untuk keselamatan。

KITA TERBIASA UNTUK HARI-HARI, TIDAK LAGI MENCURIGAKAN, DAN MEREKA SEMUA PADA KODE. KODE BERISI UTANG LAMA, YANG DI MASA LALU TIDAK HARUS DIBAYAR KARENA JUMLAH KECIL ORANG YANG HARUS MEMBAYAR. KETIKA AI DATANG, ADA BANYAK ORANG YANG HARUS MEMBAYAR。

Bukan hanya hacker yang mendapatkan lebih banyak. Di sisi lain dari sistem, jumlah orang yang berurusan dengan masalah tidak berubah proporsional。

ITU BAGIAN TERSULIT DARI USIA KEAMANAN. KAPASITAS MENYEBAR SENDIRI, DAN TANGGUNG JAWAB TIDAK; MENEMUKAN CELAH MENJADI LEBIH MURAH DAN MEMPERBAIKINYA ADALAH SEBAGAI MAHAL SEPERTI BIASA. KERUSAKAN DAPAT DIREPLIKASI BERKALI-KALI OLEH SCRIPT, TETAPI KEPERCAYAAN HANYA DAPAT SECARA PERLAHAN PULIH OLEH SATU SISTEM DAN SATU TIM。

AI TIDAK AKAN MENGHANCURKAN INTERNET DALAM SEMALAM. INI LEBIH SEPERTI MENYALAKAN LAMPU. AKHIRNYA, KITA MELIHAT BAHWA KEHIDUPAN DIGITAL TIDAK PERNAH MENJADI URUTAN ALAMI OTOMATIS, MELAINKAN SEKELOMPOK ORANG YANG SEHARI-HARI MENJAGA TEKANAN RISIKO DI BAWAH APA YANG KITA RASAKAN。

Yang benar-benar mahal adalah tidak menemukan celah. Ini adalah bahwa tidak ada cukup orang yang bersedia untuk memperbaiki lubang satu per satu。