Anthropic bersama 12 raksasa meluncurkan rencana "Sayap Kaca" menggunakan model Mythos yang belum dirilis untuk memperbaiki celah keamanan perangkat lunak global

Penulis: Anthropic

Diterjemahkan oleh: Deep Tide TechFlow

Panduan dari Deep Tide: Anthropic telah merilis model terobosan Claude Mythos Preview yang belum dipublikasikan; kemampuan audit kode-nya telah melampaui sebagian besar pakar keamanan manusia. Model ini mampu secara mandiri menemukan celah zero-day yang telah ada selama puluhan tahun.

Berdasarkan kemampuan tersebut, Anthropic berkolaborasi dengan 12 raksasa teknologi termasuk AWS, Apple, Google, Microsoft, Nvidia, dan lainnya, untuk meluncurkan rencana Project Glasswing. Mereka menggelontorkan limit kredit senilai 100 juta dolar dengan target menutup celah pada perangkat lunak kunci global sebelum para penyerang memperoleh kemampuan yang setara.

Pendahuluan

Hari ini, kami mengumumkan Project Glasswing (Rencana Sayap Kaca), sebuah inisiatif baru yang menghimpun Amazon Web Services (AWS), Anthropic, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan, Linux Foundation, Microsoft, Nvidia, dan Palo Alto Networks, dengan tujuan melindungi keamanan perangkat lunak paling penting di seluruh dunia.

Kami meluncurkan Project Glasswing karena sebuah model terobosan baru yang dilatih oleh Anthropic telah menunjukkan kemampuan yang menurut kami dapat mengubah lanskap keamanan siber. Claude Mythos Preview adalah model terobosan serbaguna yang belum dirilis; model ini mengungkap fakta yang pahit: kemampuan pengkodean model AI sudah mencapai tingkat sedemikian rupa—dalam menemukan dan memanfaatkan celah perangkat lunak, mereka dapat melampaui semua orang kecuali para ahli paling top.

Mythos Preview telah menemukan ribuan celah berisiko tinggi, mencakup setiap sistem operasi arus utama dan setiap browser arus utama. Seiring kecepatan kemajuan AI, kemampuan ini akan menyebar dalam waktu dekat dan mungkin jatuh ke tangan pengguna yang tidak bertanggung jawab. Dampaknya terhadap ekonomi, keamanan publik, dan keamanan nasional bisa sangat serius. Project Glasswing adalah upaya yang mendesak untuk memastikan kemampuan-kemampuan tersebut diprioritaskan untuk pertahanan.

Sebagai bagian dari Project Glasswing, para mitra di atas akan menggunakan Mythos Preview dalam pekerjaan keamanan defensif mereka; Anthropic akan membagikan pembelajaran agar seluruh industri diuntungkan. Kami juga membuka akses kepada lebih dari 40 organisasi lain yang membangun atau memelihara infrastruktur perangkat lunak penting, agar mereka dapat memindai dan menguatkan sistem milik sendiri maupun sistem open source. Anthropic berkomitmen menyediakan kuota penggunaan Mythos Preview hingga maksimal 100 juta dolar, serta donasi langsung sebesar 4 juta dolar kepada organisasi keamanan open source.

Project Glasswing hanyalah titik awal. Tidak ada satu institusi pun yang bisa menyelesaikan masalah keamanan siber sendirian: pengembang AI terdepan, perusahaan perangkat lunak lainnya, peneliti keamanan, pemelihara open source, serta pemerintah di seluruh dunia semuanya memiliki peran yang tidak tergantikan. Melindungi infrastruktur siber global mungkin memerlukan waktu bertahun-tahun; sementara kemampuan AI terdepan dalam beberapa bulan ke depan berpotensi melonjak secara signifikan. Agar para pembela siber bisa mengambil posisi lebih dulu, mereka harus bertindak sekarang.

Keamanan Siber di Era AI

Perangkat lunak yang kita andalkan setiap hari—menjalankan sistem perbankan, menyimpan catatan medis, menghubungkan jaringan logistik, dan menjaga agar jaringan listrik tetap beroperasi—selalu memiliki bug. Sebagian besar tidak relevan, tetapi ada beberapa yang merupakan celah keamanan serius; begitu ditemukan, penyerang dapat membajak sistem, melumpuhkan operasi, atau mencuri data.

Konsekuensi serangan siber terhadap jaringan perusahaan, sistem medis, infrastruktur energi, simpul transportasi, serta instansi pemerintah dari berbagai negara sudah terlihat jelas. Pada tingkat global, serangan tingkat negara dari Tiongkok, Iran, Korea Utara, dan Rusia telah mengancam infrastruktur yang menopang kehidupan sipil dan persiapan militer. Bahkan serangan skala kecil terhadap satu rumah sakit atau sekolah pun dapat menimbulkan kerugian ekonomi yang besar, mengekspos data sensitif, bahkan mengancam nyawa. Kerugian ekonomi tahunan kejahatan siber global sulit diperkirakan secara presisi, namun mungkin berada di kisaran 500 miliar dolar.

Di masa lalu, banyak kekurangan perangkat lunak bertahun-tahun tidak ditemukan karena menemukan dan memanfaatkannya membutuhkan pengetahuan khusus yang hanya dimiliki oleh segelintir pakar keamanan. Namun dengan munculnya model AI terdepan terbaru, biaya, upaya, dan ambang keahlian yang diperlukan untuk menemukan dan memanfaatkan celah perangkat lunak telah turun secara drastis. Dalam setahun terakhir, model AI semakin kuat dalam membaca kode dan penalaran; terutama dalam menemukan celah dan menyusun cara eksploitasi, performanya menakjubkan. Claude Mythos Preview telah mencapai peningkatan lompatan dalam keterampilan keamanan siber ini—ada beberapa celah yang ditemukannya yang tetap bertahan setelah ditinjau oleh manusia selama puluhan tahun, dan setelah mengalami jutaan kali pengujian keamanan otomatis; sementara kode eksploitasi yang dikembangkannya juga semakin cermat.

Setelah satu dekade sejak kontes DARPA Cyber Grand Challenge pertama, model AI terdepan kini mendekati atau bahkan menyamai kemampuan manusia paling top dalam menemukan dan memanfaatkan celah. Tanpa langkah-langkah keamanan yang diperlukan, kemampuan siber yang kuat ini dapat digunakan untuk mengeksploitasi banyak celah yang masih ada dalam perangkat lunak paling penting di dunia. Serangan siber akan menjadi lebih sering dan lebih destruktif, serta memberi kekuatan kepada lawan Amerika Serikat dan sekutunya. Ini adalah prioritas keamanan yang harus diperhatikan oleh negara demokrasi.

Kabar baiknya adalah: kemampuan yang membuat model AI menjadi berbahaya di tangan yang salah juga sangat bernilai ketika menemukan dan memperbaiki celah penting dalam perangkat lunak—mereka juga dapat membantu menghasilkan perangkat lunak baru dengan bug yang lebih sedikit. Project Glasswing adalah langkah penting untuk membantu para pembela membangun keunggulan yang berkelanjutan di masa depan era keamanan siber yang digerakkan oleh AI.

Kemampuan keamanan siber yang kuat dari Claude Mythos Preview dalam menemukan celah dan cara eksploitasi

Dalam beberapa minggu terakhir, kami menggunakan Claude Mythos Preview untuk menemukan ribuan celah zero-day (yaitu celah yang sama sekali tidak diketahui oleh pengembang perangkat lunak sebelumnya) di setiap sistem operasi arus utama, setiap browser arus utama, serta sejumlah perangkat lunak penting lainnya, dan banyak di antaranya berada pada tingkat risiko tinggi.

Di blog Frontier Red Team, kami mengungkap rincian teknis dari sebagian celah yang telah diperbaiki, serta cara eksploitasi yang ditemukan oleh Mythos Preview. Hampir semua penemuan (dan pengembangan banyak cara eksploitasi terkait) dilakukan sepenuhnya secara mandiri oleh model, tanpa bimbingan dari manusia. Berikut tiga contoh:

Mythos Preview menemukan sebuah celah yang telah ada selama 27 tahun di OpenBSD. OpenBSD terkenal dengan standar pengerasan keamanan yang sangat tinggi, dan banyak digunakan untuk firewall serta infrastruktur penting lainnya. Celah ini memungkinkan penyerang menyebabkan sistemnya crash secara jarak jauh hanya dengan melakukan koneksi ke mesin target.

Ia juga menemukan celah yang berusia 16 tahun di FFmpeg. FFmpeg digunakan oleh tak terhitung banyak perangkat lunak untuk encoding dan decoding video. Masalahnya terletak pada satu baris kode, sementara alat pengujian otomatis telah mengenai baris kode tersebut 5 juta kali, namun tidak pernah mendeteksi masalahnya.

Model tersebut secara mandiri menemukan dan merangkai sejumlah celah dalam kernel Linux (kernel Linux menjalankan sebagian besar server di seluruh dunia), melakukan serangan privilege escalation dari hak akses pengguna biasa hingga kendali penuh atas mesin.

Semua celah di atas telah kami laporkan kepada pemelihara perangkat lunak terkait, dan semuanya telah diperbaiki. Untuk banyak celah lainnya, hari ini kami menyediakan rincian hash terenkripsi (lihat blog Red Team), dan akan mempublikasikan informasi spesifik setelah perbaikan selesai.

CyberGym dan tolok ukur evaluasi lainnya juga memverifikasi adanya kesenjangan yang signifikan antara Mythos Preview dan model kami yang sedikit di bawahnya, Claude Opus 4.6:

Replikasi celah keamanan siber - CyberGym

Selain pekerjaan kami sendiri, banyak mitra juga telah menggunakan Claude Mythos Preview selama beberapa minggu. Berikut umpan balik mereka:

“Kemampuan AI telah melewati sebuah ambang, secara mendasar mengubah urgensi yang diperlukan untuk melindungi infrastruktur penting dari ancaman siber—dan itu tidak bisa dibalik. Kami menunjukkan, melalui kerja dasar dari model-model ini, bahwa kita dapat mengenali dan memperbaiki celah keamanan dalam perangkat keras dan perangkat lunak dengan kecepatan dan skala yang belum pernah terjadi sebelumnya. Ini adalah perubahan yang mendalam, dan sinyal yang jelas: cara pengerasan sistem lama sudah tidak cukup. Penyedia teknologi harus segera mengadopsi metode baru secara proaktif, sementara pelanggan perlu siap untuk deployment. Itulah alasan Cisco bergabung dengan Project Glasswing—pekerjaan ini terlalu penting dan terlalu mendesak untuk ditangani sendiri.”

—— Anthony Grieco, Wakil Presiden Senior dan Chief Security & Trust Officer, Cisco

“Di AWS, kami membangun pertahanan sebelum ancaman muncul—mulai dari chip khusus hingga seluruh tumpukan teknologi. Keamanan bukan urusan satu tahap; itu berkelanjutan dan tertanam dalam semua yang kami lakukan. Tim kami menganalisis lebih dari 400 triliun kali lalu lintas jaringan setiap hari untuk mendeteksi ancaman; AI adalah inti dari kemampuan pertahanan kami dalam skala besar. Kami terus menguji Claude Mythos Preview dalam operasi keamanan kami sendiri, menerapkannya ke repositori kode penting, dan itu membantu kami menguatkan kode. Kami sedang menyuntikkan keahlian keamanan yang mendalam ke dalam kolaborasi dengan Anthropic, serta membantu memperkuat Claude Mythos Preview agar lebih banyak organisasi dapat mendorong pekerjaannya dengan standar keamanan tertinggi.”

—— Amy Herzog, Wakil Presiden, AWS, dan Chief Information Security Officer

“Ketika keamanan siber tidak lagi dibatasi oleh kemampuan semata-mata berbasis tenaga manusia, peluang untuk menggunakan AI secara bertanggung jawab untuk meningkatkan keamanan secara masif dan menurunkan risiko adalah sesuatu yang belum pernah terjadi sebelumnya. Bergabung dengan Project Glasswing dan mendapatkan akses ke Claude Mythos Preview memungkinkan kami mengenali dan memitigasi risiko lebih awal, serta memperkuat solusi keamanan dan pengembangan kami—untuk melindungi pelanggan dan Microsoft dengan lebih baik. Saat menguji di benchmark keamanan open source CTI-REALM, Claude Mythos Preview menunjukkan peningkatan yang nyata dibanding model sebelumnya. Kami berharap dapat bekerja sama dengan Anthropic dan industri yang lebih luas untuk meningkatkan hasil keamanan bagi semua pihak.”

—— Igor Tsyganskiy, Wakil Presiden Eksekutif untuk Keamanan Siber di Microsoft dan Microsoft Research

“Jendela waktu dari celah ditemukan hingga dieksploitasi oleh penyerang telah runtuh—dulu yang memerlukan waktu berbulan-bulan, sekarang dapat dilakukan dalam hitungan menit dengan AI. Claude Mythos Preview menunjukkan kemungkinan bagi para pembela untuk bertindak dalam skala besar, sementara pihak lawan tak terelakkan akan mencari cara mengeksploitasi kemampuan yang sama. Ini bukan alasan untuk melambat langkah—ini alasan untuk mempercepat bersama. Untuk menerapkan AI, harus ada jaminan keamanan. Itulah mengapa CrowdStrike terlibat sejak hari pertama.”

—— Elia Zaitsev, Chief Technology Officer, CrowdStrike

“Dulu, keahlian keamanan adalah kemewahan yang hanya dinikmati organisasi yang memiliki tim keamanan besar. Pemelihara perangkat lunak open source—yang perangkat lunaknya menopang sebagian besar infrastruktur penting global—secara historis hanya bisa memikirkan cara mereka sendiri untuk menyelesaikan masalah keamanan. Perangkat lunak open source membentuk sebagian besar kode dalam sistem modern, termasuk sistem yang digunakan AI agent untuk menulis perangkat lunak baru. Dengan memberi para pemelihara repo open source kunci akses ke model AI generasi baru—yang mampu mengidentifikasi dan memperbaiki celah secara proaktif dalam skala besar—Project Glasswing menyediakan jalur yang nyata untuk mengubah situasi ini. Inilah cara keamanan yang ditingkatkan oleh AI berubah dari alat eksklusif bagi tim besar menjadi asisten yang dapat diandalkan bagi setiap pemelihara.”

—— Jim Zemlin, CEO Linux Foundation

“Memajukan keamanan siber dan ketahanan sistem keuangan adalah inti dari misi JPMorgan; kami percaya bahwa ketika institusi terdepan menantang industri bersama dan bekerja sama, industri menjadi yang paling kuat. Project Glasswing menyediakan kesempatan awal yang unik bagi kami untuk menilai kemampuan alat AI generasi berikutnya dalam keamanan siber defensif jaringan infrastruktur penting sesuai standar kami sendiri, sekaligus bertempur berdampingan dengan para pemimpin teknologi yang dihormati. Kami akan mengambil pendekatan yang ketat dan independen untuk menentukan bagaimana melanjutkan dan bagaimana memberikan bantuan. Inisiatif Anthropic mencerminkan pendekatan yang visioner dan kolaboratif yang dibutuhkan momen ini.”

—— Pat Opet, Chief Information Security Officer, JPMorgan

“Kami senang melihat terbentuknya inisiatif keamanan siber lintas industri ini, dan kami menyediakan akses Mythos Preview kepada para peserta melalui Vertex AI. Kolaborasi industri terhadap masalah keamanan yang muncul selalu sangat penting—baik itu kriptografi pasca-kuantum, pengungkapan zero-day yang bertanggung jawab, keamanan perangkat lunak open source, maupun pertahanan terhadap serangan berbasis AI. Kami selalu yakin AI menghadirkan tantangan baru sekaligus peluang baru dalam pertahanan jaringan; itulah alasan kami membangun alat berbasis AI seperti Big Sleep dan CodeMender untuk menemukan dan memperbaiki celah penting dalam perangkat lunak. Kami akan terus berinvestasi pada platform keamanan siber terdepan dan budaya yang berpusat pada perlindungan pengguna, pelanggan, ekosistem, dan keamanan nasional.”

—— Heather Adkins, Wakil Presiden Senior Engineering, Google Security

“Dalam beberapa minggu terakhir, kami terus menggunakan model Claude Mythos Preview untuk mengidentifikasi celah kompleks yang benar-benar terlewat oleh model generasi sebelumnya. Ini tidak hanya mengubah cara permainan dalam menemukan celah tersembunyi, tetapi juga berarti penyerang akan segera dapat menemukan lebih banyak celah zero-day dan mengembangkan kode eksploitasi dengan lebih cepat daripada sebelumnya. Jelas bahwa model-model ini perlu diserahkan kepada pemilik proyek open source dan semua pihak pembela sebelum penyerang mendapatkan akses untuk menemukan dan memperbaiki celah. Mungkin yang lebih penting: semua orang perlu siap menghadapi penyerang yang dibantu AI. Serangan akan lebih banyak, lebih cepat, dan lebih kompleks. Sekaranglah waktunya untuk peningkatan menyeluruh pada ekosistem keamanan siber. Kami mengapresiasi Anthropic dan kerja sama dengan industri untuk memastikan bahwa kemampuan kuat ini diprioritaskan untuk pertahanan.”

—— Lee Klarich, Chief Product & Technology Officer, Palo Alto Networks

Kemampuan keamanan siber yang kuat dari Claude Mythos Preview berasal dari kemampuan agen coding dan penalaran yang luar biasa. Hasil evaluasi berikut menunjukkan bahwa model ini meraih skor tertinggi di antara semua model yang diketahui pada berbagai tugas pengkodean perangkat lunak.

Agen coding

Penalaran

Pencarian agen dan penggunaan komputer

Catatan:

SWE-bench Verified, Pro, dan Multilingual: penyaringan penandaan memorisasi menandai sebagian soal. Setelah mengecualikan soal yang berpotensi mengandung memorisasi, keunggulan Mythos Preview relatif terhadap Opus 4.6 tidak berubah.

SWE-bench Multimodal: menggunakan implementasi internal, skor tidak dapat dibandingkan secara langsung dengan papan peringkat publik.

Terminal-Bench 2.0: menggunakan kerangka Terminus-2, mode berpikir maksimal upaya pada konfigurasi self-adaptive, dengan total anggaran 1 juta token per tugas, konfigurasi sumber daya 1x guarantee / 3x limit, dan rata-rata diambil dari 5 percobaan per tugas. Setelah menaikkan batas time-out menjadi 4 jam dan memperbarui ke Terminal-Bench 2.1, skor Mythos Preview menjadi 92,1%.

BrowseComp: skor Claude Mythos Preview lebih tinggi daripada Opus 4.6, sementara jumlah konsumsi token hanya 1/4,9 dari yang terakhir.

Humanity’s Last Exam: Mythos tetap berperforma baik pada mode upaya rendah, mungkin terdapat tingkat memorisasi.

Untuk informasi lebih lanjut tentang kemampuan model, atribut keamanan, dan karakteristik dasar, lihat system card Claude Mythos Preview.

Kami tidak berencana untuk membuka Claude Mythos Preview kepada publik, tetapi tujuan akhirnya adalah membuat pengguna dapat melakukan deployment skala besar yang aman terhadap model tingkat Mythos—bukan hanya untuk keamanan siber, tetapi juga untuk banyak nilai lain yang dapat dihasilkan oleh model berkinerja tinggi seperti ini. Untuk itu, kami perlu membuat kemajuan dalam pengembangan perlindungan keamanan (dan lainnya) yang dapat mendeteksi dan mencegah output paling berbahaya dari model. Kami berencana merilis mekanisme perlindungan keamanan baru dalam model Claude Opus yang akan datang, sehingga kami dapat menyempurnakan dan meningkatkan langkah-langkah tersebut dengan model yang tidak memiliki tingkat risiko setara dengan Mythos Preview.

Rencana langkah berikutnya Project Glasswing

Rilis hari ini adalah permulaan dari upaya jangka panjang. Agar berhasil, diperlukan partisipasi yang luas dari seluruh industri teknologi, baik dari dalam maupun luar.

Mitra Project Glasswing akan mendapatkan akses ke Claude Mythos Preview untuk menemukan dan memperbaiki celah serta kelemahan dalam sistem dasarnya—sistem-sistem ini mencakup proporsi besar dari permukaan serangan bersama jaringan global. Fokus kerja yang diperkirakan termasuk deteksi kerentanan lokal, pengujian black-box biner, pengerasan endpoint, dan pengujian penetrasi sistem.

Kuota penggunaan model senilai 100 juta dolar yang dijanjikan Anthropic untuk Project Glasswing dan partisipan lain akan mencakup penggunaan besar selama periode riset preview. Setelah itu, Claude Mythos Preview akan disediakan kepada para peserta dengan harga 25 dolar / 125 dolar per sejuta input / output token (peserta dapat mengakses model melalui Claude API, Amazon Bedrock, Google Cloud Vertex AI, dan Microsoft Foundry).

Selain kuota penggunaan model, kami juga mendonasikan 2,5 juta dolar melalui Linux Foundation kepada Alpha-Omega dan OpenSSF, serta 1,5 juta dolar kepada Apache Software Foundation, untuk membantu pemelihara perangkat lunak open source menghadapi perubahan lanskap ini (pemelihara yang tertarik dapat mengajukan akses melalui program Claude for Open Source).

Kami berencana membuat pekerjaan ini terus meluas secara berkelanjutan dalam beberapa bulan, dan membagikan pengalaman sebanyak mungkin agar organisasi lain dapat menerapkan pengalaman tersebut pada keamanan mereka sendiri. Mitra akan saling berbagi informasi dan praktik terbaik selama memungkinkan sesuai kondisi. Dalam 90 hari, Anthropic akan mempublikasikan laporan temuan kami, beserta celah yang telah diperbaiki dan langkah perbaikan yang dapat diungkap. Kami juga akan bekerja sama dengan organisasi keamanan terkemuka untuk menyusun serangkaian rekomendasi praktis mengenai evolusi praktik keamanan di era AI, yang mungkin mencakup: proses pengungkapan celah, proses pembaruan perangkat lunak, keamanan open source dan supply chain, siklus pengembangan perangkat lunak serta praktik desain keamanan, standar industri yang diatur, augmentasi triase, serta otomatisasi dan otomatisasi patch.

Anthropic juga terus berdiskusi dengan pejabat pemerintah Amerika Serikat mengenai kemampuan keamanan siber ofensif dan defensif Claude Mythos Preview. Melindungi infrastruktur penting adalah prioritas utama keamanan nasional bagi negara demokrasi—munculnya kemampuan keamanan siber ini sekali lagi menunjukkan bahwa Amerika Serikat dan sekutunya harus tetap unggul secara menentukan dalam teknologi AI. Pemerintah memiliki peran yang tidak tergantikan dalam membantu mempertahankan keunggulan tersebut, serta menilai dan memitigasi risiko keamanan nasional terkait model AI. Kami siap bekerja sama dengan perwakilan pemerintah di semua tingkatan untuk membantu menyelesaikan tugas-tugas tersebut.

Kami berharap Project Glasswing dapat memicu upaya yang lebih besar, mencakup sektor industri dan sektor publik, di mana semua pihak bersama-sama menanggapi masalah terbesar terkait dampak model-model kuat terhadap keamanan. Kami mengundang anggota industri AI lainnya untuk bergabung, membantu menyusun standar industri. Dalam jangka menengah, sebuah lembaga pihak ketiga yang independen—yang dapat menghimpun organisasi sektor privat dan publik—mungkin menjadi platform ideal untuk menampung pekerjaan lanjutan proyek keamanan siber skala besar tersebut.

Lampiran

Proyek ini dinamai semacam kupu-kupu sayap kaca (Greta oto). Metafora ini memiliki dua lapis makna: sayap kupu-kupu yang transparan membuatnya bisa bersembunyi tanpa terlihat, seperti celah-celah yang dibahas dalam artikel ini yang bersembunyi di dalam kode; sayap yang transparan juga membantunya menghindari cedera, seperti pendekatan transparan yang kami anjurkan.

Kata “Mythos” berasal dari bahasa Yunani kuno, yang berarti “narasi” atau “cerita”: sistem cerita yang digunakan peradaban untuk memahami dunia.

Para profesional keamanan yang pekerjaannya legal dipengaruhi oleh langkah-langkah keamanan ini dapat mengajukan rencana verifikasi keamanan jaringan siber yang akan segera diluncurkan (Cyber Verification Program).