Claude Mythos Ciptakan Exploit dalam Hitungan Jam, N-Day Kini Jadi Ancaman N-Hour

CLB.my.id - Anthropic mengumumkan bahwa model AI terbarunya, Claude Mythos Preview, mampu membuat exploit berfungsi untuk kerentanan yang sudah diketahui dalam hitungan jam, bukan hari. Kemampuan ini secara dramatis memperpendek jeda antara rilis patch dan senjata yang siap digunakan oleh penyerang.

16 Exploit Berhasil Dibuat untuk Firefox dan Windows

Dalam pengujian yang dilakukan Anthropic, Claude Mythos Preview berhasil menciptakan 16 exploit yang berfungsi penuh untuk dua target utama: Firefox dan Windows. Untuk kerentanan SpiderMonkey di Firefox 148 dan 149, model ini menghasilkan 14 proof-of-concept dan 8 exploit berfungsi. PoC pertama dibuat dalam 12 menit, sedangkan exploit pertama selesai dalam waktu kurang dari satu jam.

Perbandingan dengan model lain menunjukkan gap yang signifikan. Opus 4.8 menghasilkan 11 PoC dan 2 exploit, sementara Sonnet 4.6 hanya mampu membuat 1 exploit. Semua model diberi anggaran tiga juta token untuk pengujian Firefox ini.

Untuk Windows, Anthropic menguji kemampuan model membangun exploit terhadap 21 kerentanan kernel yang diungkapkan antara Januari dan Februari 2026. Mythos Preview berhasil membuat PoC yang memicu Blue Screen of Death untuk 18 dari 21 bug tersebut. Lebih mengkhawatirkan lagi, model ini membangun 8 exploit eskalasi hak akses penuh dalam waktu 18 jam. PoC pertama untuk Windows hanya membutuhkan 31 menit.

Biaya yang Sangat Murah untuk Senjata Siber

Salah satu temuan paling mencemaskan dari pengujian ini adalah biaya yang dibutuhkan. Total biaya untuk membuat seluruh rantai exploit Windows hanya 15.700 dolar AS dalam kredit API, atau sekitar 2.000 dolar per exploit eskalasi hak akses. Angka ini menjadikan pembuatan senjata siber canggih jauh lebih terjangkau daripada sebelumnya.

Anthropic menyatakan bahwa batasan utama untuk mengeksploitasi N-day kini hanya beberapa ribu dolar dan akses API. Kondisi ini memperluas kelompok penyerang yang mampu memanfaatkan kerentanan yang sudah diketahui secara drastis. Sebelumnya, pembuatan exploit membutuhkan keahlian tingkat tinggi dan waktu berminggu-minggu. Kini, sebuah model AI dapat menyelesaikan tugas yang sama dalam hitungan jam.

Jeda Patch yang Menjadi Titik Kritis

Temuan ini memperjelas betapa berbahayanya jeda waktu antara rilis patch dan penerapannya di perangkat pengguna. Menurut data Anthropic, patch Windows biasanya membutuhkan waktu sekitar 7 hari untuk mencapai 90 persen perangkat yang terdaftar dalam sebuah fleet. Perangkat biasanya baru di-reboot secara paksa pada hari ke-11.

Dengan kecepatan Mythos Preview membuat exploit, Anthropic menegaskan bahwa model tersebut dapat menyelesaikan seluruh rantai exploit sebelum perangkat Windows manapun menerima patch sebagai pembaruan. Meskipun mengubah exploit menjadi kampanye serangan nyata membutuhkan langkah tambahan, Anthropic telah memperpendek salah satu tahap paling memakan waktu menjadi hitungan jam.

N-Day Lebih Berbahaya dari Zero-Day

Anthropic menjelaskan paradoks penting dalam lanskap keamanan siber saat ini. N-day, yaitu kerentanan yang sudah diketahui publik dan sudah tersedia patch-nya, ternyata bisa lebih berbahaya daripada zero-day. Alasannya, patch menyediakan cetak biru bagi penyerang untuk membangun exploit melalui teknik patch diff dan reverse engineering.

Model bahasa besar seperti Claude Mythos mempercepat dan mengotomatisasi proses ini secara signifikan. Penyerang tidak perlu lagi menjadi ahli reverse engineering tingkat tinggi. Cukup dengan akses ke model AI yang tepat, proses yang sebelumnya membutuhkan keahlian khusus dan waktu lama kini dapat diselesaikan dengan beberapa ribu dolar.

Sistem yang Paling Rentan

Anthropic secara khusus menyoroti sistem yang memiliki siklus patching lambat atau sulit diperbarui. Sistem kontrol industri, perangkat medis, dan perangkat Internet of Things sering kali berjalan pada jadwal pemeliharaan tetap, firmware terkunci vendor, atau memiliki jaminan uptime. Seiring biaya penjatahan setiap patch yang mendekati nol, sistem-sistem ini akan semakin terpapar.

Bahkan sistem yang beroperasi pada siklus patching yang dianggap bertanggung jawab kini menjadi target yang jauh lebih mudah daripada sebelumnya. Anthropic menyerukan perubahan paradigma dalam strategi patching, dari respons “N-day” menjadi “N-hour”, dengan asumsi bahwa senjata dapat dibuat dalam hitungan jam, bukan minggu.

Rekomendasi untuk Organisasi

Anthropic merekomendasikan agar organisasi segera meninjau ulang kebijakan patching mereka. Percepatan penerapan patch menjadi kritis, terutama untuk sistem yang terhubung ke internet dan infrastruktur kritis. Organisasi juga perlu mempertimbangkan strategi pertahanan berlapis yang tidak hanya mengandalkan patch, tetapi juga deteksi dini dan respons cepat terhadap aktivitas eksploitasi yang mencurigakan.

Temuan ini juga menunjukkan bahwa lanskap ancaman siber telah memasuki era baru di mana AI tidak hanya menjadi alat pertahanan, tetapi juga senjata yang sangat efektif bagi penyerang. Keseimbangan antara kemampuan ofensif dan defensif AI akan menjadi salah satu tantangan keamanan siber terbesar di tahun-tahun mendatang.***