Claude Mythos Temukan 271 Kerentanan di Firefox 150: Pertahanan Siber Akhirnya Bisa Menang

Claude Mythos Temukan 271 Kerentanan di Firefox 150: Pertahanan Siber Akhirnya Bisa Menang

Mozilla dan Anthropic baru saja menulis babak baru dalam perang siber yang sudah berlangsung puluhan tahun. Dalam rilis Firefox 150 pekan ini, tim keamanan Mozilla memperbaiki 271 kerentanan yang ditemukan oleh Claude Mythos Preview, model AI terbaru dari Anthropic yang dirancang khusus untuk keamanan siber. Jumlah ini melambung drastis dari 22 kerentanan yang ditemukan model sebelumnya, Opus 4.6, dalam pemindaian Firefox 148 pada Februari lalu.

Kolaborasi ini bukan sekadar angka. Ini adalah bukti bahwa kecerdasan buatan telah mencapai titik di mana ia bisa menandingi peneliti keamanan manusia kelas dunia, bukan menggantikan mereka, melainkan memberdayakan mereka dengan skala dan kecepatan yang tak terbayangkan sebelumnya.

---

Dari 22 ke 271: Lompatan Kemampuan AI dalam Waktu Dua Bulan

Peningkatan dari 22 ke 271 kerentanan dalam dua bulan bukan sekadar perbaikan linear. Ini menandakan evolusi cepat dalam kemampuan model AI frontier untuk memahami kode kompleks dan mengidentifikasi pola yang menunjukkan kelemahan keamanan.

Dari 271 kerentanan yang ditemukan, lebih dari 40 di antaranya cukup serius untuk mendapatkan pelacakan CVE (Common Vulnerabilities and Exposures). Tiga kerentanan secara spesifik dikreditkan kepada Claude Mythos dalam advisori resmi Mozilla: CVE-2026-6746 (tingkat tinggi), CVE-2026-6757, dan CVE-2026-6758 (keduanya tingkat menengah).

Mozilla menyebutkan bahwa sebagian besar dari 271 kerentanan tersebut merupakan isu tingkat rendah hingga menengah, termasuk celah hardening, perbaikan defense-in-depth, dan bug di jalur kode yang tidak dapat dieksploitasi. Namun, ini bukan berarti tidak berbahaya. Sejarah keamanan siber penuh dengan contoh di mana penyerang berhasil menggabungkan beberapa kerentanan tingkat rendah untuk membangun eksploit kritis.

Seperti yang ditunjukkan oleh pengujian awal Palo Alto Networks, Mythos memiliki kemampuan menggabungkan (chaining) kerentanan medium dan low-severity menjadi eksploit kritis, sesuatu yang biasanya membutuhkan keahlian analisis logika tingkat tinggi.

---

Pernyataan Berani dari CTO Firefox: AI Setara Peneliti Manusia Elite

Bobby Holley, CTO Firefox, tidak ragu memberikan penilaian yang jarang dilontarkan oleh eksekutif keamanan senior. Dalam blog post resmi Mozilla, ia menyatakan bahwa Claude Mythos Preview "setara dalam segala hal" dengan peneliti keamanan manusia terbaik di dunia.

Namun yang lebih menarik adalah pengakuan berikutnya. Mozilla menegaskan bahwa mereka "belum melihat bug apa pun yang _tidak bisa_ ditemukan oleh peneliti manusia elite." Pernyataan ini membantah prediksi pesimis yang mengkhawatirkan bahwa AI masa depan akan menemukan bentuk kerentanan baru yang melampaui pemahaman manusia.

Holley menjelaskan alasannya: perangkat lunak seperti Firefox dirancang dengan cara modular agar manusia dapat memahami kebenarannya. Ia kompleks, tetapi tidak kompleks secara sewenang-wenang. Defects-nya terbatas, dan kita sekarang memasuki dunia di mana kita akhirnya bisa menemukan semuanya.

Pandangan ini optimis namun realistis. AI tidak sedang menciptakan ancaman baru yang tak terduga. Ia sedang membantu menutupi celah yang selama ini hanya terbuka karena keterbatasan sumber daya manusia.

---

Perubahan Paradigma: Dari Pertahanan Bertahan ke Pertahanan Menang

Selama bertahun-tahun, industri keamanan siber beroperasi dalam mode defensif. Penyedia perangkat lunak kritis seperti Firefox memang memiliki tim keamanan yang serius, tetapi semua pihak diam-diam mengakui bahwa membawa eksploitasi ke nol adalah tujuan yang tidak realistis.

Strateginya berubah: bukan mengejar zero exploit, melainkan membuat eksploitasi begitu mahal sehingga hanya aktor dengan anggaran tak terbatas yang mampu membiayainya. Ini adalah pendekatan defensif pragmatis, meski secara fundamental pasif.

Mozilla menyebutnya sebagai "security to date has been offensively-dominant." Permukaan serangan memang tidak tak terhingga, tetapi cukup besar untuk sulit dipertahankan secara komprehensif dengan alat yang selama ini tersedia. Penyerang memiliki keunggulan asimetris karena mereka hanya perlu menemukan satu celah.

Dengan AI seperti Mythos, persamaan berubah. Jika mesin bisa menemukan semua yang bisa ditemukan manusia, dan melakukannya dengan biaya yang jauh lebih murah, maka keunggulan asimetris penyerang mulai terkikis. Mozilla menyimpulkan dengan kalimat yang kuat: Defenders finally have a chance to win, decisively.

---

Project Glasswing: Model Berbahaya yang Dibatasi dengan Hati-hati

Claude Mythos tidak dirilis untuk publik. Anthropic membatasinya melalui program yang disebut Project Glasswing, yang hanya memberikan akses ke sekitar 40 organisasi besar yang telah melalui verifikasi ketat.

Daftar mitra Glasswing mencakup nama-nama besar: AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, Nvidia, dan Palo Alto Networks. Program ini menunjukkan kesadaran Anthropic akan risiko dual-use: model yang sama yang bisa membantu Mozilla menemukan 271 bug juga bisa disalahgunakan untuk menemukan eksploit di perangkat lunak lain.

Keterbatasan ini juga memunculkan diskusi tentang akses merata. Organisasi kecil, startup, dan tim keamanan dengan anggaran terbatas mungkin tidak bisa mengakses alat sekuat Mythos. Apakah ini menciptakan ketimpangan baru di mana hanya perusahaan besar yang bisa mempertahankan diri dari ancaman AI?

Mozilla menyebutkan bahwa kolaborasi ini adalah bagian dari "continued collaboration" dengan Anthropic. Ini menunjukkan hubungan jangka panjang, bukan sekadar uji coba satu kali. Kita bisa mengharapkan lebih banyak temuan serupa di masa depan.

---

Implikasi Jangka Panjang: AI dan Masa Depan Keamanan Perangkat Lunak

Temuan 271 kerentanan ini membuka beberapa pertanyaan mendasar tentang arah industri.

Pertama, apakah ini berarti bug bounty program tradisional akan menjadi usang? Tidak serta-merta. Manusia masih diperlukan untuk verifikasi, prioritisasi, dan perbaikan. Namun peran mereka berubah dari penemu menjadi supervisor dan pengambil keputusan strategis.

Kedua, apakah kualitas kode akan meningkat secara drastis? Mozilla optimistis. Jika AI bisa menemukan semua defect yang tersembunyi, maka standar keamanan untuk perangkat lunak kritis seperti browser, sistem operasi, dan infrastruktur internet bisa naik secara signifikan.

Ketiga, bagaimana dengan risiko yang disebutkan Mozilla di catatan kaki: ada bahwa basis kode mulai melampaui pemahaman manusia karena semakin banyak AI dalam proses pengembangan. Jika bug menjadi lebih kompleks seiring dengan kemampuan penemuan, kita mungkin berlari di tempat. Mozilla menekankan bahwa human-comprehensibility adalah properti esensial yang harus dijaga, terutama dalam perangkat lunak kritis seperti browser dan sistem operasi.

Kolaborasi Mozilla dan Anthropic ini bukan penutup bab, melainkan pembukaan babak baru. Pertanyaannya bukan lagi apakah AI bisa membantu keamanan siber. Pertanyaannya adalah: seberapa cepat industri lain akan mengikuti jejak ini, dan apakah kita siap untuk dunia di mana setiap baris kode bisa dianalisis oleh kecerdasan yang tak pernah lelah.