Sebuah titik balik yang mengkhawatirkan bagi kecerdasan buatan, ataukah ancaman yang dibesar-besarkan?
Pengumuman terbaru startup AI Anthropic bahwa mereka mendeteksi kampanye peretasan pertama di dunia yang dipimpin oleh kecerdasan buatan telah memicu beragam tanggapan dari para ahli keamanan siber.
Artikel Rekomendasi
- item 1
- item 2
- item 3
- item 4
Sementara sejumlah pengamat membunyikan alarm tentang datangnya titik belok berbahaya yang telah lama ditakuti, pihak lain menyambut klaim tersebut dengan skeptisisme, dengan argumen bahwa laporan startup itu menghilangkan detail krusial dan justru menimbulkan lebih banyak pertanyaan daripada jawaban.
Dalam sebuah laporan pada Jumat, Anthropic menyatakan bahwa asistennya, Claude Code, telah dimanipulasi untuk menjalankan 80-90 persen dari serangan siber “berskala besar” dan “sangat canggih”, dengan intervensi manusia yang dibutuhkan “hanya sesekali”.
Anthropic, sang pencipta chatbot Claude yang populer, menyebutkan bahwa serangan tersebut bertujuan untuk menyusup ke lembaga pemerintah, institusi keuangan, perusahaan teknologi, dan perusahaan manufaktur kimia, meskipun operasi itu hanya berhasil dalam sejumlah kecil kasus.
Perusahaan yang berbasis di San Fransisco ini, yang mengaitkan serangan itu dengan peretas yang didukung negara China, tidak merincikan bagaimana mereka mengungkap operasi tersebut, maupun mengidentifikasi “kira-kira” 30 entitas yang diklaim menjadi target.
Roman V Yampolskiy, seorang pakar AI dan keamanan siber di University of Louisville, menyatakan tidak ada keraguan bahwa peretasan berbantuan AI merupakan ancaman serius, meskipun sulit untuk memverifikasi detail pasti dari laporan Anthropic.
“Model modern dapat menulis dan mengadaptasi kode eksploit, menyaring volume data yang dicuri dalam jumlah besar, dan mengorchestrasi alat lebih cepat dan lebih murah daripada tim manusia,” ujar Yampolskiy kepada Al Jazeera.
“Mereka menurunkan batas keterampilan untuk memulai dan meningkatkan skala di mana aktor yang memiliki sumber daya dapat beroperasi. Pada dasarnya kita menempatkan tim junior operasi siber di cloud, yang dapat disewa per jam.”
Yampolskiy mengatakan ia memperkirakan AI akan meningkatkan baik frekuensi maupun tingkat keparahan serangan.
Jaime Sevilla, direktur Epoch AI, mengungkapkan bahwa ia tidak melihat banyak hal baru dalam laporan Anthropic, namun pengalaman masa lalu menunjukkan bahwa serangan berbantuan AI memang memungkinkan dan kemungkinan besar akan menjadi semakin umum.
“Ini kemungkinan besar akan paling berdampak pada bisnis menengah dan agensi pemerintah,” kata Sevilla kepada Al Jazeera.
“Secara historis, mereka bukan target yang cukup berharga untuk kampanye khusus dan seringkali kurang berinvestasi dalam keamanan siber, tetapi AI membuat mereka menjadi target yang menguntungkan. Saya perkirakan banyak organisasi ini akan beradaptasi dengan merekrut spesialis keamanan siber, meluncurkan program imbalan untuk kerentanan, dan menggunakan AI untuk mendeteksi serta memperbaiki kelemahan secara internal.”
Sementara banyak analis telah menyampaikan keinginan mereka untuk informasi lebih lanjut dari Anthropic, beberapa lainnya mengabaikan klaim-klaim tersebut.
Setelah Senator Amerika Serikat Chris Murphy memperingatkan bahwa serangan yang dipimpin AI akan “menghancurkan kita” jika regulasi tidak menjadi prioritas, kepala ilmuwan Meta AI Yann LeCun menegur anggota parlemen tersebut karena “dibohongi” oleh perusahaan yang ingin menguasai regulasi.
“Mereka menakuti semua orang dengan studi yang diragukan agar model open source diregulasi hingga tak tersisa,” kata LeCun dalam sebuah postingan di X.
Anthropic tidak menanggapi permintaan untuk berkomentar.
Juru bicara kedutaan China di Washington, DC, menyatakan bahwa China “secara konsisten dan teguh” menentang segala bentuk serangan siber.
“Kami berharap pihak-pihak terkait akan bersikap profesional dan bertanggung jawab, mendasarkan karakterisasi mereka terhadap insiden siber pada bukti yang cukup, daripada spekulasi dan tuduhan yang tidak berdasar,” ujar Liu Pengyu kepada Al Jazeera.
Toby Murray, ahli keamanan komputer di University of Melbourne, mengatakan bahwa Anthropic memiliki insentif bisnis untuk menyoroti baik bahaya dari serangan semacam itu maupun kemampuannya untuk melawannya.
“Beberapa orang mempertanyakan klaim Anthropic yang menyiratkan bahwa para penyerang mampu membuat AI Claude melakukan tugas-tugas yang sangat kompleks dengan pengawasan manusia yang lebih sedikit daripada yang biasanya dibutuhkan,” kata Murray kepada Al Jazeera.
“Sayangnya, mereka tidak memberikan kami bukti kuat untuk mengatakan secara pasti tugas apa yang dilakukan atau pengawasan seperti apa yang diberikan. Jadi sulit untuk memberikan penilaian atas klaim-klaim ini.”
Namun, Murray mengaku tidak menemukan laporan itu terlalu mengejutkan, mengingat betapa efektifnya beberapa asisten AI dalam tugas-tugas seperti pengkodean.
“Saya tidak melihat peretasan bertenaga AI mengubah jenis peretasan yang akan terjadi,” ujarnya.
“Akan tetapi, ini mungkin mendatangkan perubahan dalam skala. Kita harus berharap untuk melihat lebih banyak peretasan bertenaga AI di masa depan, dan peretasan tersebut menjadi lebih berhasil.”
Sementara AI dipastikan akan menimbulkan risiko yang semakin besar bagi keamanan siber, ia juga akan menjadi pivotal dalam memperkuat pertahanan, menurut para analis.
Fred Heiding, seorang research fellow di Harvard University yang berspesialisasi dalam keamanan komputer dan keamanan AI, menyatakan keyakinannya bahwa AI akan memberikan “keunggulan signifikan” bagi spesialis keamanan siber dalam jangka panjang.
“Saat ini, banyak operasi siber terbentur oleh kurangnya tenaga profesional siber manusia. AI akan membantu kita mengatasi hambatan ini dengan memungkinkan kita menguji semua sistem kita dalam skala besar,” kata Heiding kepada Al Jazeera.
Heiding, yang menggambarkan laporan Anthropic sebagai umumnya kredibel namun “berlebihan”, menyatakan bahwa bahaya besarnya adalah para peretas akan memiliki kesempatan untuk bertindak semaunya sementara para ahli keamanan berjuang untuk menyusul eksploitasi mereka terhadap AI yang semakin maju.
“Sayangnya, komunitas defensif kemungkinan akan terlalu lambat dalam mengimplementasikan teknologi baru ke dalam pengujian keamanan dan solusi patching yang terotomatisasi,” ujarnya.
“Jika itu yang terjadi, para penyerang akan mengakibatkan kerusakan besar pada sistem kita hanya dengan menekan sebuah tombol, sebelum pertahanan kita sempat mengejar ketertinggalan.”