Pada 7 April 2026, Anthropic merilis laporan teknis yang menggetarkan dunia keamanan siber. Claude Mythos Preview, model AI terbaru mereka, berhasil menemukan ribuan kerentanan zero-day berkategori high dan critical di hampir seluruh perangkat lunak utama dunia — dari sistem operasi Linux, FreeBSD, dan OpenBSD, hingga seluruh browser populer dan library media seperti FFmpeg.
Yang membuat temuan ini luar biasa: lebih dari 99% kerentanan yang ditemukan belum ditambal saat laporan dipublikasikan. Artinya, satu model AI tunggal kini memegang kunci untuk membuka pertahanan hampir seluruh infrastruktur digital dunia.
Apa Itu Claude Mythos dan Mengapa Ini Penting?
Claude Mythos adalah penerus Claude Opus 4.6 dari Anthropic. Berbeda dengan model AI sebelumnya yang lebih unggul dalam menemukan dan memperbaiki bug, Mythos menunjukkan kemampuan yang secara fundamental berbeda: ia bisa menemukan, menganalisis, dan membuat exploit secara otonom tanpa bantuan manusia.
Baca juga: Pemogokan Jurnalis ProPublica: AI, PHK, dan Upah Jadi Titik Panas
Menurut laporan Anthropic, kemampuan ini muncul secara alami dari peningkatan umum model — Mythos tidak dilatih secara khusus untuk eksploitasi keamanan. Ini menandakan bahwa frontier AI model berikutnya akan secara inheren memiliki kemampuan ofensif siber yang sangat kuat.
Bagi Indonesia, di mana digitalisasi berjalan cepat tapi infrastruktur keamanan siber masih berkembang, temuan ini menjadi peringatan serius. Menurut laporan BSSN, serangan siber ke Indonesia meningkat signifikan setiap tahun, dan kerentanan zero-day yang belum ditambal adalah vektor serangan paling berbahaya.
Perbandingan Dramatis: Mythos vs Opus 4.6
Data benchmark menunjukkan lompatan kemampuan yang sangat drastis antara Mythos Preview dan pendahulunya:
Baca juga: Microsoft Sebut Copilot 'Hanya untuk Hiburan' — Apa Artinya bagi Pengguna?
Eksploitasi JavaScript Engine Firefox 147:
- Opus 4.6: 2 exploit berhasil dari ratusan percobaan (tingkat keberhasilan sekitar 0,4%)
- Mythos Preview: 181 exploit berhasil, dengan kontrol register tercapai 29 kali tambahan
Pengujian OSS-Fuzz (7.000 entry point dari 1.000 repositori):
- Sonnet 4.6 dan Opus 4.6: 150-175 crash tier-1, sekitar 100 tier-2, hanya 1 tier-3
- Mythos Preview: 595 crash tier-1/2, beberapa tier-3/4, dan 10 tier-5 (kontrol penuh atas alur eksekusi program)
Tier-5 dalam klasifikasi keamanan berarti penyerang memiliki kendali penuh atas program target — dari sekadar crash menjadi eksekusi kode arbitrer. Opus 4.6 mencapai 0 tier-5. Mythos mencapai 10. Ini bukan peningkatan bertahap, melainkan lompatan kualitatif.
Bug TCP SACK OpenBSD — 27 Tahun Tersembunyi
Mythos menemukan kerentanan dalam implementasi TCP Selective Acknowledgment (SACK) di kernel OpenBSD yang telah ada selama 27 tahun. Bug ini memanfaatkan signed integer overflow pada perbandingan nomor urut TCP, menciptakan kondisi yang secara logis seharusnya tidak mungkin terjadi.
OpenBSD dikenal sebagai salah satu sistem operasi paling aman di dunia, dengan rekam jejak hanya dua kerentanan remote dalam instalasi default selama lebih dari 20 tahun. Fakta bahwa AI menemukan bug fundamental yang terlewatkan oleh komunitas keamanan selama hampir tiga dekade menggarisbawahi kekuatan pendekatan baru ini.
Biaya penemuan: kurang dari $50 per percobaan berhasil, atau sekitar $20.000 untuk 1.000 percobaan keseluruhan.
Kerentanan FFmpeg H.264 — 16 Tahun di Balik Layar
FFmpeg adalah library multimedia yang digunakan oleh hampir setiap aplikasi pemutar video di dunia — dari VLC hingga YouTube. Mythos menemukan bug pada penanganan slice H.264 yang berasal dari commit tahun 2003 dan menjadi kerentanan setelah refaktor tahun 2010.
Masalahnya terletak pada field 16-bit yang bertabrakan dengan nilai sentinel ketika sebuah frame memiliki tepat 65.536 slice. Ini mengakibatkan out-of-bounds heap write yang berpotensi memungkinkan eksekusi kode arbitrer. Tiga kerentanan diperbaiki di FFmpeg 8.1 berkat temuan ini.
Biaya penemuan: sekitar $10.000 untuk beberapa ratus percobaan. Bandingkan dengan biaya satu auditor keamanan profesional yang bisa mencapai ratusan ribu dolar untuk audit serupa.
FreeBSD NFS RCE (CVE-2026-4747) — Eksploitasi Penuh dari Nol
Ini mungkin demonstrasi paling mengesankan dari kemampuan Mythos. Model menemukan kerentanan stack buffer overflow pada protokol autentikasi RPCSEC_GSS di server NFS FreeBSD — bug berusia 17 tahun.
Dilansir laporan Anthropic, kerentanan ini memungkinkan penyerang mendapatkan kontrol penuh atas server, dimulai dari pengguna tidak terotentikasi dari mana saja di internet. Buffer 128 byte bisa di-overflow hingga 304 byte, dan yang kritis, stack tersebut tidak memiliki proteksi canary.
Mythos tidak hanya menemukan bug ini — ia secara otonom mengembangkan exploit lengkap tanpa intervensi manusia: membangun ROP chain, mengkonstruksi payload multi-paket, dan mengeksekusi privilege escalation. Total biaya: kurang dari $2.000 dan kurang dari satu hari kerja.
Dampak untuk Indonesia
Indonesia menghadapi tantangan unik terkait temuan ini. Berdasarkan data BSSN, infrastruktur digital Indonesia masih banyak menggunakan software open-source yang termasuk dalam cakupan pengujian Mythos — Linux sebagai server, FFmpeg untuk layanan streaming, dan berbagai implementasi NFS untuk file sharing.
Pertama, siklus patching harus dipercepat. Banyak server di Indonesia masih menggunakan kernel Linux dan FreeBSD yang belum di-update selama berbulan-bulan. Dengan AI yang bisa menemukan dan mengeksploitasi kerentanan dalam hitungan jam, jendela antara penemuan bug dan eksploitasi aktif akan menyusut drastis.
Kedua, infrastruktur kritis perlu audit ulang. Sistem perbankan, telekomunikasi, dan pemerintahan Indonesia yang mengandalkan software open-source harus mempertimbangkan audit keamanan berbasis AI sebagai langkah preventif.
Ketiga, talenta keamanan siber makin krusial. Indonesia membutuhkan lebih banyak profesional keamanan siber yang memahami bagaimana AI bisa digunakan baik untuk menyerang maupun bertahan.
Bagaimana Anthropic Memvalidasi Temuan?
Pengujian dilakukan dalam lingkungan container terisolasi dengan agentic scaffolding. Model diberi akses ke kode sumber target dan diminta menemukan kerentanan secara mandiri. Proses validasi melibatkan empat tahap: penemuan awal, sistem prioritas file dengan skala 1-5, verifikasi dua tahap untuk memastikan keparahan, dan validasi oleh kontraktor keamanan profesional.
Dari 198 laporan yang ditinjau manusia, 89% penilaian keparahan sesuai secara tepat, dan 98% berada dalam satu tingkat keparahan. Ini menunjukkan bahwa model tidak hanya menemukan bug nyata, tapi juga memahami implikasinya dengan akurasi mendekati pakar manusia.
Eksploitasi Otonom: Rantai Kerentanan yang Dibangun Sendiri
Kemampuan yang paling mengkhawatirkan sekaligus mengesankan adalah bagaimana Mythos secara mandiri membangun rantai eksploitasi multi-kerentanan. Dalam pengujian terhadap kernel Linux, model secara independen mengidentifikasi 2-4 kerentanan yang bisa dirangkai, membangun bypass KASLR dengan mengkombinasikan primitif baca dan tulis, menggunakan teknik heap spray, dan menyelesaikan privilege escalation penuh.
Untuk eksploitasi browser, Mythos mengembangkan JIT heap spray dengan sandbox escape — teknik yang biasanya membutuhkan tim peneliti keamanan berpengalaman berminggu-minggu untuk mengembangkan.
Project Glasswing: Distribusi Terbatas untuk Kebaikan
Menyadari potensi bahaya, Anthropic mengambil pendekatan hati-hati dalam distribusi Mythos. Project Glasswing memberikan akses awal terbatas hanya kepada mitra infrastruktur kritis dan pengembang open-source yang proyeknya ditemukan memiliki kerentanan.
Anthropic menggunakan hash SHA-3 untuk membuktikan penemuan kerentanan tanpa mengungkapkan detail teknis. Jendela pengungkapan mengikuti standar industri: 90 hari plus perpanjangan 45 hari, memberikan waktu untuk pengembangan dan distribusi patch.
AI Mengubah Keamanan Siber Selamanya
Temuan Claude Mythos menandai titik balik dalam keamanan siber. Penemuan kerentanan zero-day yang selama ini membutuhkan pakar berpengalaman berminggu-minggu kini bisa diotomasi dengan biaya ribuan dolar. Di satu sisi, defender bisa menggunakan AI untuk menemukan dan menambal kerentanan sebelum penyerang. Di sisi lain, aktor jahat yang mendapatkan akses ke model serupa akan memiliki kemampuan ofensif yang belum pernah terbayangkan.
Anthropic merekomendasikan langkah-langkah mendesak: deploy model AI frontier untuk pencarian bug segera, persingkat siklus patching, aktifkan auto-update, perlakukan dependency CVE bumps sebagai urgent, dan otomasi pipeline respons insiden teknis.
Bagi organisasi di Indonesia, pesannya jelas: perbarui sistem Anda, audit infrastruktur kritis, dan mulai pertimbangkan AI sebagai komponen integral strategi keamanan siber. Dunia keamanan siber tidak akan sama lagi setelah Claude Mythos.