Penggunaan Kecerdasan Buatan dalam Pencarian Kerentanan Keamanan
Google telah mencatat sejumlah besar kerentanan keamanan yang ditemukan oleh alat berbasis kecerdasan buatan (AI) bernama Big Sleep. Alat ini, yang dikembangkan oleh tim DeepMind dan Project Zero, berhasil menemukan 20 kerentanan pertamanya pada Senin (04/08/25). Menurut laporan Wakil Presiden Keamanan Google, Heather Adkins, kerentanan tersebut terutama ditemukan pada perangkat lunak sumber terbuka seperti pustaka audio dan video FFmpeg serta rangkaian penyuntingan gambar ImageMagick.
Meski demikian, Google belum mengungkapkan dampak atau tingkat keparahan dari kerentanan-kerentanan ini. Hal ini merupakan prosedur standar yang dilakukan perusahaan saat menunggu perbaikan terhadap bug yang ditemukan. Namun, keberhasilan Big Sleep dalam menemukan kerentanan menunjukkan bahwa alat-alat berbasis AI mulai memberikan dampak nyata dalam dunia keamanan siber.
Big Sleep, yang dikembangkan oleh departemen AI perusahaan DeepMind bersama tim peretas elit, Project Zero, mampu menemukan kerentanan tanpa campur tangan manusia. “Kami melibatkan pakar manusia untuk memastikan laporan berkualitas tinggi, tetapi setiap kerentanan ditemukan dan direproduksi Agen AI tanpa campur tangan manusia,” kata juru bicara Google, Kimberly Samra.
Selain Big Sleep, sudah ada beberapa alat lain berbasis AI yang digunakan untuk mencari dan menemukan kerentanan. Contohnya adalah RunSybil dan XBOW. XBOW menjadi topik pembicaraan publik setelah mencapai puncak salah satu platform bug bounty, HackerOne. Dalam kebanyakan kasus, laporan semacam itu melibatkan manusia di beberapa titik proses untuk memverifikasi apakah pemburu bug bertenaga AI benar-benar menemukan kerentanan nyata.
Peran Manusia dalam Proses Pencarian Bug
Salah satu pendiri dan kepala teknologi di RunSybil, Vlad Ionescu, mengatakan bahwa Big Sleep adalah proyek yang sah, mengingat desainnya yang baik dan orang-orang di baliknya yang merupakan ahli di bidangnya. Ionescu juga mengapresiasi tim Project Zero yang berpengalaman dalam menemukan bug, serta DeepMind yang memiliki kemampuan dan sumber daya untuk melakukan hal tersebut.
Alat-alat seperti Big Sleep, XBOW, atau RunSybil memang menjanjikan, tetapi masih memiliki kekurangan yang signifikan. Beberapa pengelola proyek perangkat lunak mengeluhkan adanya laporan bug fiktif yang disebut sebagai “halusinasi”. Mereka bahkan menyebutnya sebagai bug bounty yang setara dengan AI slop, yaitu konten berkualitas rendah yang dihasilkan AI.
“Inilah masalah sebenarnya yang dihadapi banyak orang, kita sering dapat barang yang tampak seperti emas, tetapi sebenarnya hanyalah sampah,” ujar Vlad Ionescu, mengkritik kekurangan fatal yang ada pada program bug bounty.
Tantangan dan Peluang di Masa Depan
Penggunaan AI dalam pencarian kerentanan keamanan membuka peluang baru dalam menjaga keamanan digital. Namun, tantangan utama tetap ada, terutama dalam membedakan antara bug nyata dan hasil karya AI yang tidak akurat. Diperlukan kolaborasi antara AI dan manusia untuk memastikan bahwa laporan bug yang diterima benar-benar valid dan berguna.
Dengan perkembangan teknologi yang pesat, alat-alat berbasis AI akan terus meningkatkan efisiensi dan akurasi dalam menemukan kerentanan. Namun, penting bagi pengembang dan pengguna untuk tetap waspada dan memverifikasi hasil kerja AI agar tidak terjadi kesalahan yang berdampak buruk.
