Di tengah perdebatan sengit mengenai dampak model AI baru terhadap keamanan siber, Mozilla mengumumkan pada Selasa bahwa rilis browser Firefox 150 minggu ini menyertakan perlindungan untuk 271 kerentanan yang teridentifikasi berkat akses awal ke Mythos Preview milik Anthropic. Tim Firefox menyatakan bahwa dibutuhkan sumber daya dan disiplin untuk menyesuaikan diri dengan banjir bug yang dapat diungkap oleh alat AI baru, namun upaya besar ini dianggap perlu untuk keamanan pengguna Mozilla, mengingat kemampuan serupa akan segera berada di tangan para penyerang.
Baik Anthropic maupun OpenAI telah mengumumkan model AI baru dalam beberapa pekan terakhir yang diklaim perusahaan memiliki kemampuan keamanan siber mutakhir yang dapat menjadi titik balik dalam cara para pembela—dan yang krusial, para penyerang—menemukan kerentanan dan kesalahan konfigurasi dalam sistem perangkat lunak. Dengan pertimbangan ini, sejauh ini perusahaan-perusahaan tersebut hanya melakukan rilis terbatas secara privat terhadap model baru mereka, dan keduanya juga telah membentuk kelompok kerja industri untuk menilai kemajuan serta menyusun strategi. Namun dalam praktiknya, para ahli keamanan siber memiliki beragam pandangan mengenai seberapa signifikan dampak kemampuan baru ini nantinya.
Pengalaman Mozilla, setidaknya dalam jangka pendek, menunjukkan bahwa alat AI seperti Mythos Preview dapat memberikan dampak yang mendalam bagi para pemburu kerentanan.
“Keyakinan kami adalah bahwa alat-alat ini telah mengubah segalanya secara dramatis, karena kini kami memiliki teknik otomatis yang dapat mencakup, sepengetahuan kami, seluruh spektrum bug yang memicu kerentanan,” ujar Bobby Holley, Chief Technology Officer Firefox. Selama bertahun-tahun, katanya, Firefox dan organisasi lain mengandalkan kombinasi teknik pemburuan kerentanan otomatis, seperti software fuzzing, dan pemburuan kerentanan manual oleh peneliti internal maupun eksternal untuk menemukan dan memperbaiki cacat. Dan para penyerang juga memiliki akses ke alat dan metode yang sama.
“Dulu ada kategori bug yang hanya bisa ditemukan dengan analisis manusia, tidak dengan analisis otomatis. Oleh karena itu, selalu memungkinkan bagi aktor ancaman yang bersedia mengeluarkan jutaan dolar untuk menemukan satu bug—kami berusaha membuat biaya itu setinggi mungkin,” jelas Holley.
Holley kini menyatakan bahwa kemampuan AI yang muncul akan menciptakan semacam ‘bootcamp’ yang harus dilalui oleh semua perangkat lunak, dengan satu cara atau lainnya, untuk menemukan dan memperbaiki sejumlah kerentanan laten dalam kodenya. Perusahaan seperti Anthropic dan OpenAI tampaknya berusaha mengajak sebanyak mungkin pemain besar untuk melalui transformasi ini sebelum kemampuan tersebut tersedia secara lebih luas.
“Setiap perangkat lunak harus melalui transisi ini, karena setiap perangkat lunak memiliki banyak bug yang tersembunyi di balik permukaan dan kini dapat ditemukan,” kata Holley dari Firefox. “Ini adalah momen transisi yang sulit dan membutuhkan fokus terkoordinasi serta ketekunan untuk dilalui, tetapi saya yakin momen ini terbatas, bahkan seiring model yang menjadi lebih canggih. Mungkin model yang lebih maju akan menemukan beberapa hal di sana-sini, tapi saya percaya, setidaknya dari sisi Firefox yang memiliki sedikit keunggulan awal, bahwa kita telah melewati titik terberat.”
Holley mengatakan tim Firefox mendapatkan akses ke Mythos Preview sebagai bagian dari kolaborasi langsung dengan Anthropic dan bahwa Mozilla tidak secara formal tergabung dalam konsorsium lebih besar yang disebut Project Glasswing.
Firefox adalah perangkat lunak sumber terbuka, sebuah jenis perangkat lunak yang pada umumnya bisa terdampak sangat signifikan oleh kemampuan baru AI dalam berburu bug. Hal ini mengingat banyak proyek sumber terbuka digunakan dan diandalkan secara luas di seluruh dunia, namun seringkali hanya dikelola oleh segelintir kecil relawan atau bahkan satu orang saja. Dampaknya bisa sangat serius bagi “abandonware” atau perangkat lunak yang sudah tidak lagi dikelola sama sekali.