WhataWin melalui iStock / Getty Images Plus
Ikuti ZDNET: Tambahkan kami sebagai sumber pilihan di Google.
**Intisari ZDNET**
Kecerdasan buatan (AI) ternyata lebih baik dari perkiraan dalam menemukan bug lama yang tersembunyi. Sayangnya, AI juga mahir menemukan celah bagi peretas untuk dieksploitasi. Singkatnya, AI belum siap untuk menggantikan peran pemrogram atau profesional keamanan siber.
Dalam sebuah postingan LinkedIn baru-baru ini, CTO Microsoft Azure Mark Russinovich mengungkapkan bahwa ia menggunakan model AI terbaru Claude Opus 4.6 dari Anthropic untuk membaca dan menganalisis kode assembly yang ia tulis pada 1986 untuk prosesor Apple II 6502.
Claude tidak hanya menjelaskan kode tersebut; model ini melakukan apa yang ia sebut sebagai “audit keamanan,” mengungkap kesalahan logika yang halus, termasuk satu kasus di mana suatu rutin gagal memeriksa *carry flag* setelah operasi aritmetika.
Itu adalah bug klasik yang telah tersembunyi dan tidak aktif selama beberapa dekade.
Kabar Baik dan Kabar Buruk
Eksperimen Russinovich sangat mencolok karena kode tersebut mendahului bahasa pemrograman, kerangka kerja, dan daftar pemeriksaan keamanan masa kini. Namun, AI mampu bernalar tentang aliran kontrol tingkat rendah dan flag CPU untuk menunjukkan cacat nyata. Bagi pengembang berpengalaman, ini adalah pengingat bahwa basis kode yang telah lama hidup mungkin masih menyimpan bug yang telah diterima oleh alat konvensional dan para pengembang.
Meski demikian, beberapa pakar percaya bahwa eksperimen ini juga menimbulkan kekhawatiran.
Seperti yang dikatakan Matthew Trifiro, seorang insinyur pemasaran berpengalaman: “Permukaan serangan kini meluas hingga mencakup setiap biner yang pernah dirilis. Ketika AI dapat merekayasa balik arsitektur usang berusia 40 tahun dengan baik seperti ini, pendekatan pengaburan dan keamanan melalui ketidakjelasan saat ini pada dasarnya tidak bernilai.”
Trifiro memiliki poin penting. Di satu sisi, AI akan membantu kita menemukan bug sehingga dapat diperbaiki. Itu kabar baiknya. Di sisi lain, dan inilah kabar buruknya, AI juga dapat membobol program yang masih digunakan namun sudah tidak lagi mendapatkan patch atau dukungan.
Seperti yang ditunjukkan Adedeji Olowe, pendiri Lendsqr, “Ini lebih menyeramkan daripada yang kita akui. Miliaran mikrokontroler warisan ada secara global, banyak yang mungkin menjalankan firmware rapuh atau kurang diaudit seperti ini.”
Ia melanjutkan: “Implikasi sesungguhnya adalah bahwa aktor jahat dapat mengirim model seperti Opus untuk secara sistematis menemukan kerentanan dan mengeksploitasinya, sementara banyak sistem ini pada dasarnya tidak dapat ditambal.”
LLM Melengkapi Alat Deteksi
Alat analisis statis tradisional seperti SpotBugs, CodeQL, dan Snyk Code memindai kode sumber untuk pola yang terkait dengan bug dan kerentanan. Alat-alat ini unggul dalam menangkap masalah yang telah dipahami dengan baik, seperti dereferensi pointer null, pola injeksi umum, dan penyalahgunaan API, dan mereka melakukannya dalam skala besar di berbagai basis kode Java dan bahasa lainnya.
Kini, telah menjadi jelas bahwa model bahasa besar (LLM) dapat melengkapi alat detektor besar tersebut. Dalam studi perbandingan tahun 2025, LLM seperti GPT-4.1, Mistral Large, dan DeepSeek V3 terbukti sebaik analisis statis standar industri dalam menemukan bug di berbagai proyek sumber terbuka.
Bagaimana model-model ini melakukannya? Alih-alih bertanya, “Apakah baris ini melanggar aturan X?”, LLM pada dasarnya bertanya, “Mengingat apa yang seharusnya dilakukan sistem ini, di mana letak mode kegagalan dan jalur serangannya?” Kombinasi pendekatan ini merupakan pasangan yang sangat kuat.
Misalnya, AI Claude Opus 4.6 Anthropic membantu membersihkan kode sumber terbuka Firefox. Menurut Mozilla, Tim Merah Frontier Anthropic menemukan lebih banyak bug berbahaya tinggi di Firefox hanya dalam dua minggu daripada yang biasanya dilaporkan orang dalam dua bulan. Mozilla menyatakan, “Ini adalah bukti jelas bahwa analisis berskala besar berbantuan AI merupakan tambahan baru yang kuat untuk perangkat kerja insinyur keamanan.”
Anthropic bukan satu-satunya organisasi yang menggunakan mesin AI untuk menemukan bug dalam kode. Produk Signal dari Black Duck, misalnya, menggabungkan beberapa LLM, server Model Context Protocol (MCP), dan agen AI untuk menganalisis kode secara mandiri secara real-time, mendeteksi kerentanan, dan mengusulkan perbaikan.
Sementara itu, konsultan keamanan, seperti NCC Group, bereksperimen dengan plugin bertenaga LLM untuk alat rekayasa balik perangkat lunak, seperti Ghidra, untuk membantu menemukan masalah keamanan, termasuk potensi luapan buffer dan masalah keamanan memori lain yang sulit dikenali manusia.
Meneruskan Pemeriksaan Keamanan kepada AI
Kesuksesan-kesuksesan ini tidak berarti kita siap menyerahkan pemeriksaan keamanan kita kepada AI. Jauh dari itu.
Peneliti menemukan bahwa pencarian bug berbasis LLM bukanlah pengganti langsung untuk pipa analisis statis yang matang. Studi yang membandingkan agen pengkodean AI dengan pengembang manusia menunjukkan bahwa meskipun AI bisa sangat produktif, ia juga memperkenalkan celah keamanan dalam tingkat yang lebih tinggi, termasuk penanganan kata sandi yang tidak aman dan referensi objek yang rentan.
CodeRabbit menemukan bahwa “ada beberapa bug yang lebih sering dibuat manusia dan beberapa yang lebih sering dibuat AI. Misalnya, manusia membuat lebih banyak salah ketik dan kode yang sulit diuji daripada AI. Namun secara keseluruhan, AI menciptakan 1,7 kali lebih banyak bug daripada manusia.
Alat generasi kode menjanjikan kecepatan tetapi tersandung oleh kesalahan yang mereka perkenalkan sendiri. Bukan hanya bug kecil: AI menciptakan 1,3-1,7 kali lebih banyak masalah kritis dan mayor.”
Anda juga bisa bertanya pada Daniel Stenberg, pencipta program transfer data sumber terbuka populer cURL. Ia telah mengeluh dengan vokal dan sah bahwa proyeknya telah dibanjiri laporan keamanan palsu yang ditulis AI yang membanjiri pengelola dengan pekerjaan sibuk yang tidak perlu.
Pelajaran yang Dapat Diambil
AI, di tangan yang tepat, merupakan asisten yang hebat, tetapi belum siap untuk menjadi pemrogram atau pemeriksa keamanan utama. Mungkin suatu hari nanti, tetapi tidak hari ini. Jadi, gunakan AI dengan alat yang ada secara hati-hati, dan program Anda akan jauh lebih aman daripada saat ini.
Adapun kode lama, itu adalah kekhawatiran yang nyata. Saya memprediksi orang-orang akan mengganti perangkat bertenaga firmware karena kekhawatiran realistis bahwa mereka akan segera dibobol.