Bulan lalu, Anthropic mengumumkan sesuatu yang bikin industri keamanan siber bergidik — sekaligus bersemangat. Melalui Project Glasswing, AI Claude berhasil menemukan lebih dari 10.000 kerentanan keamanan tingkat tinggi dan kritis di berbagai software yang digunakan secara luas di seluruh dunia.
Angka ini bukan main-main. Sepuluh ribu celah keamanan dalam waktu kurang dari sebulan. Bandingkan dengan tim keamanan manual yang biasanya butuh bertahun-tahun untuk menemukan jumlah yang sama. Beberapa perusahaan cybersecurity bahkan punya tim khusus yang kerjanya cuma fuzzing dan code review — dan mereka butuh 6-12 bulan untuk nemuin ratusan celah.
Apa Itu Project Glasswing?
Project Glasswing adalah inisiatif dari Anthropic yang menggunakan Claude — AI model mereka — untuk melakukan security audit secara otomatis pada software open source yang paling penting secara sistemik. Caranya: Claude diberi akses ke kode sumber, lalu diminta mencari pola kerentanan yang dikenal seperti SQL injection, buffer overflow, path traversal, dan cross-site scripting.
Yang bikin ini revolusioner: skalanya. Bukan satu atau dua aplikasi, tapi ribuan repository secara paralel. Claude bisa memindai jutaan baris kode dalam waktu yang tidak mungkin dilakukan manusia. Ini mirip dengan cara kerja fuzzing tools, tapi dengan pemahaman konteks yang lebih dalam — AI bisa ngerti kapan sebuah input berbahaya dan kapan tidak, tanpa perlu aturan yang kaku.
Yang menarik: Anthropic menyebut software yang diaudit adalah yang “systemically important” — artinya software yang dipakai oleh banyak aplikasi lain. Misalnya library autentikasi, framework web, atau tools database. Satu celah di library kayak gini bisa berdampak ke jutaan aplikasi yang bergantung padanya.
Kenapa Ini Penting Buat Kita di Indonesia?
Mungkin Anda berpikir, “Ini urusan developer luar negeri, apa urusannya sama saya?”
Sebenarnya hampir semua software yang kita pakai sehari-hari bergantung pada ribuan library open source. Dari aplikasi mobile banking, website e-commerce, sampai sistem pemerintahan — semuanya mengandung kode dari repository publik. Bahkan aplikasi buatan dalam negeri pun biasanya dibangun di atas framework open source global.
Ketika celah keamanan ditemukan di library populer, dampaknya bisa langsung terasa:
- Aplikasi mobile di Indonesia mungkin terpapar celah yang sama — karena mereka pakai library yang sama
- Situs pemerintah dan e-commerce yang pakai CMS populer perlu patch cepat
- Data pengguna berpotensi bocor kalau celah dieksploitasi sebelum sempat diperbaiki
- Startup Indonesia yang ngandelin library gratis tanpa audit keamanan internal bisa jadi sasaran empuk
Yang Bikin Khawatir: Kecepatan Eksploitasi vs Kecepatan Patch
Celah keamanan yang ditemukan AI juga bisa dieksploitasi oleh AI. Bayangkan skenario: seorang hacker pakai AI untuk memindai celah yang baru ditemukan, lalu otomatis membuat exploit — semua dalam hitungan jam. Sementara tim keamanan di perusahaan Indonesia mungkin butuh 1-3 hari cuma untuk verifikasi dan testing sebelum patch dirilis.
Ini disebut “AI-powered attack vs human-powered defense” — dan tebak siapa yang kalah kalau tim defense-nya masih manual? Celah CVE-2026-9082 di Drupal Core, misalnya, masuk ke CISA KEV (Known Exploited Vulnerabilities) karena sudah aktif dieksploitasi. Artinya, dari celah ditemukan sampai exploit muncul di lapangan, waktunya sangat singkat — dalam hitungan hari, bukan minggu.
Tapi Ini Juga Kabar Baik
Dari sisi positif, AI security audit kayak Project Glasswing artinya software open source yang kita andalkan bakal lebih aman dalam jangka panjang. Developer punya tools untuk ngecek kode mereka sebelum dirilis ke publik. Perusahaan di Indonesia yang ngembangin software sendiri bisa memanfaatkan AI serupa buat audit internal.
Beberapa perusahaan startup cybersecurity Indonesia sudah mulai eksperimen dengan AI untuk penetration testing otomatis. Tapi skalanya belum sebesar Project Glasswing. Tantangannya: butuh investasi compute yang gak sedikit — Anthropic dilaporkan menghabiskan jutaan dolar untuk inisiatif ini.
Ke depannya, kemungkinan besar AI security audit bakal jadi standar. Sama kayak CI/CD yang dulu dianggap “nice to have” tapi sekarang standar di pengembangan software modern, security audit dengan AI bakal jadi hal wajib.
Apa yang Bisa Kita Lakukan?
Untuk pengguna biasa:
- Update software Anda. Celah yang udah ditemukan biasanya udah di-patch dalam 1-2 minggu. Tugas Anda cuma klik “update” pas notifikasi muncul. Jangan tunda-tunda.
- Aktifkan auto-update di WordPress, browser, dan aplikasi mobile. Fitur ini ada di hampir semua platform modern.
- Gunakan password manager — banyak celah keamanan di aplikasi web yang bisa diminimalisir dengan autentikasi kuat dan unique password per layanan.
- Hati-hati dengan update palsu — exploit sering menyamar sebagai notifikasi update. Pastikan update dari sumber resmi.
Untuk developer dan perusahaan di Indonesia:
- Investasi di automated security testing — tools kayak Snyk, Dependabot, atau GitHub Code Scanning bisa jadi awal yang baik. Banyak yang gratis.
- Audit dependency secara rutin — jangan cuma pas awal develop, tapi setiap minggu. Cek apakah library yang Anda pakai punya celah yang belum di-patch.
- Pantau CISA KEV — database celah yang udah aktif dieksploitasi. Kalau celah masuk KEV, artinya udah ada yang menyerang — dan Anda harus patch segera.
Kesimpulan
Project Glasswing bukan cuma berita tentang AI yang pintar. Ini sinyal bahwa lanskap keamanan siber berubah fundamental. AI bisa menemukan ribuan celah dalam waktu yang gak mungkin dicapai manusia. Dan dalam waktu dekat, pakai AI buat security audit bukan lagi “nice to have” — tapi standar minimum.
Indonesia perlu sadar: kita bukan cuma konsumen software global, tapi juga korban potensial dari celah yang belum di-patch. Keamanan digital bukan lagi urusan IT department — tapi tanggung jawab kita semua.
Discover more from Teknologinow
Subscribe to get the latest posts sent to your email.