Google mengumumkan bahwa pemburu bug berbasis AI mereka menemukan 20 kerentanan keamanan dalam perangkat lunak sumber terbuka.
Google baru-baru ini mengumumkan bahwa pemburu bug berbasis AI mereka, Big Sleep, telah melaporkan batch pertama kerentanan keamanan. Heather Adkins, wakil presiden keamanan Google, mengungkapkan bahwa Big Sleep, yang dikembangkan oleh departemen AI Google, DeepMind, bersama dengan tim elit peretas Project Zero, menemukan dan melaporkan 20 kelemahan dalam berbagai perangkat lunak sumber terbuka populer.
Adkins menjelaskan bahwa Big Sleep menemukan kerentanan terutama dalam perangkat lunak sumber terbuka seperti perpustakaan audio dan video FFmpeg serta suite pengeditan gambar ImageMagick. Meskipun detail dampak atau tingkat keparahan kerentanan ini belum tersedia karena Google masih menunggu perbaikan, fakta bahwa Big Sleep berhasil menemukannya adalah langkah signifikan dalam keamanan siber.
Peran AI dalam Keamanan Siber
Google menekankan bahwa meskipun AI memainkan peran utama dalam menemukan kerentanan ini, ada keterlibatan manusia dalam proses verifikasi. Kimberly Samra, juru bicara Google, menyatakan bahwa untuk memastikan laporan berkualitas tinggi dan dapat ditindaklanjuti, seorang ahli manusia terlibat sebelum laporan disampaikan, tetapi setiap kerentanan ditemukan dan direproduksi oleh agen AI tanpa intervensi manusia.
Royal Hansen, wakil presiden teknik Google, menulis di platform X bahwa temuan ini menunjukkan 'perbatasan baru dalam penemuan kerentanan otomatis.' Alat berbasis LLM yang dapat mencari dan menemukan kerentanan kini sudah menjadi kenyataan. Selain Big Sleep, ada juga RunSybil dan XBOW yang telah mendapatkan perhatian setelah mencapai puncak salah satu papan peringkat di platform bug bounty HackerOne.
Tantangan dan Peluang
Namun, penting untuk dicatat bahwa dalam banyak kasus, laporan ini melibatkan manusia pada beberapa titik dalam proses untuk memverifikasi bahwa pemburu bug berbasis AI menemukan kerentanan yang sah, seperti halnya dengan Big Sleep. Vlad Ionescu, salah satu pendiri dan CTO di RunSybil, menyebut Big Sleep sebagai proyek yang sah, mengingat desainnya yang baik dan tim di belakangnya yang berpengalaman dalam menemukan bug.
Meskipun ada banyak janji dengan alat-alat ini, ada juga tantangan signifikan. Beberapa orang yang memelihara proyek perangkat lunak berbeda mengeluhkan laporan bug yang sebenarnya adalah halusinasi, dengan beberapa menyebutnya sebagai setara dengan 'sampah AI' dalam bug bounty. 'Itulah masalah yang dihadapi orang-orang, kita mendapatkan banyak hal yang terlihat seperti emas, tetapi sebenarnya hanya sampah,' kata Ionescu sebelumnya kepada TechCrunch.
Dengan perkembangan ini, Google menunjukkan bahwa AI dapat menjadi alat yang kuat dalam memperkuat keamanan siber, meskipun masih memerlukan pengawasan manusia untuk memastikan keakuratan dan keandalan temuan. Ini membuka jalan bagi masa depan di mana AI dan manusia bekerja sama untuk menciptakan lingkungan digital yang lebih aman.
