Penggunaan Kecerdasan Buatan dalam Pencarian Celah Keamanan
Google telah mengumumkan pengembangan kecerdasan buatan (AI) terbarunya yang bernama Big Sleep. AI ini berhasil menemukan sejumlah celah keamanan pada perangkat lunak sumber terbuka yang digunakan secara luas di seluruh dunia. Temuan ini menunjukkan kemajuan signifikan dalam pemanfaatan teknologi AI untuk memperkuat keamanan digital.
Big Sleep dikembangkan oleh tim AI Google, DeepMind, bekerja sama dengan Project Zero, sebuah tim khusus yang dikenal dalam mencari bug dan celah keamanan. Dalam hasil temuannya, Big Sleep mampu mendeteksi kerentanan pada beberapa perangkat lunak populer seperti FFmpeg dan ImageMagick. Kedua perangkat lunak ini banyak digunakan oleh berbagai layanan dan aplikasi, sehingga adanya celah keamanan bisa berdampak besar.
Meski demikian, Google belum memberikan informasi lengkap tentang dampak atau tingkat keparahan celah keamanan yang ditemukan. Alasannya adalah karena proses perbaikan masih berlangsung, dan informasi akan dibagikan setelah semua celah ditutup. Hal ini dilakukan sesuai kebijakan standar keamanan agar tidak dimanfaatkan oleh pihak yang tidak bertanggung jawab.
Menurut Juru Bicara Google Kimberly Samra, setiap kerentanan yang ditemukan oleh Big Sleep sepenuhnya diidentifikasi dan diuji ulang oleh AI tanpa campur tangan manusia. Namun, sebelum dilaporkan secara resmi, hasil temuan tersebut tetap diperiksa oleh para ahli keamanan untuk memastikan keakuratan dan validitasnya.
Wakil Presiden Teknik Google Royal Hansen menyebut penemuan ini sebagai bukti bahwa teknologi AI telah memasuki ‘batas baru’ dalam pencarian kerentanan otomatis. Meskipun Big Sleep adalah salah satu contoh AI yang mampu mencari bug, saat ini juga ada alat serupa seperti RunSybil dan XBOW.
XBOW bahkan pernah menempati posisi teratas di papan peringkat pemburu bug di platform HackerOne. Namun, dalam sebagian besar kasus, manusia masih diperlukan untuk memverifikasi apakah bug yang ditemukan oleh AI benar-benar nyata.
Vlad Ionescu, CTO dan salah satu pendiri RunSybil, menilai Big Sleep sebagai proyek yang serius dan terpercaya. Menurutnya, tim yang mengembangkannya memiliki pengalaman luas, desain sistem yang baik, serta sumber daya besar dari DeepMind untuk menjalankan proses pencarian bug.
Meski memiliki potensi besar, teknologi ini juga menghadapi tantangan. Beberapa pengelola perangkat lunak mengaku menerima laporan bug dari AI yang ternyata salah atau bersifat “halusinasi”. Laporan semacam ini sering disebut sebagai “bug bounty AI slop” karena awalnya terlihat meyakinkan, namun akhirnya tidak valid.
“Itulah masalahnya sekarang. Banyak laporan yang kelihatannya seperti emas, tapi sebenarnya hanya sampah,” kata Ionescu. Hal ini menunjukkan bahwa meskipun AI sangat membantu dalam pencarian bug, tetap diperlukan kehati-hatian dan verifikasi lanjutan oleh manusia.
