Cuplikan Claude Mythos: AI dari Anthropic yang Belum Dirilis Berhasil Mengungkap Celah Keamanan di Linux dan OpenBSD yang Terlewatkan Manusia Selama Puluhan Tahun

Poin Utama:

• Claude Mythos Preview dari Anthropic meraih skor 83,1% di Cybergym, menemukan ribuan kerentanan zero-day di seluruh sistem operasi dan browser utama.
• Project Glasswing diluncurkan pada 7 April 2026, dengan 11 mitra pendiri dan hingga $100 juta dalam bentuk kredit penggunaan Mythos untuk para pertahanan.
• Sebuah celah OpenBSD berusia 27 tahun dan bug FFmpeg berusia 16 tahun lolos dari jutaan uji otomatis hingga Mythos menemukannya dalam hitungan jam.

Claude Mythos AI Mendapat Skor 83% di Cybergym dan Menemukan Celah Kritis di Seluruh Browser dan OS Utama

Model ini, yang digambarkan Anthropic sebagai peningkatan kemampuan model tunggal terbesar dalam sejarah AI terdepan, menyelesaikan pelatihan dan diumumkan secara publik pada 7 April 2026, setelah detail internal bocor pada akhir Maret melalui sistem manajemen konten yang salah konfigurasi yang mengekspos sekitar 3.000 file internal.

Anthropic tidak merilis Claude Mythos Preview ke publik atau melalui API umum. Perusahaan membatasi akses ke kelompok mitra terpilih setelah model tersebut menunjukkan kemampuannya untuk menemukan dan mengeksploitasi celah perangkat lunak yang belum diketahui dengan kecepatan dan skala yang melampaui baik ahli manusia maupun sistem AI sebelumnya.

Pada tolok ukur keamanan siber, selisih antara Mythos dan Claude Opus 4.6 sulit diabaikan. Mythos mencetak skor 83,1% di Cybergym dibandingkan 66,6% untuk Opus 4.6, dan 93,9% versus 80,8% di SWE-bench Verified. Pada SWE-bench Pro, ia mencetak 77,8% melawan 53,4% — selisih 24 poin. Ia mencapai 56,8% pada Humanity's Last Exam tanpa alat bantu, dibandingkan dengan 40,0% untuk pendahulunya.
Model ini tidak memerlukan pelatihan khusus keamanan siber untuk menemukan celah-celah tersebut. Peningkatannya berasal dari kemajuan yang lebih luas dalam penalaran, perencanaan multi-langkah, dan perilaku agen otonom. Dengan basis kode target dalam wadah terisolasi, model ini membaca kode sumber, membentuk hipotesis tentang kelemahan keamanan memori, mengkompilasi dan menjalankan perangkat lunak, menggunakan debugger seperti Address Sanitizer, mengurutkan berkas berdasarkan kemungkinan kerentanan, dan menghasilkan laporan bug yang tervalidasi dengan eksploit proof-of-concept yang berfungsi.

Beberapa eksploit tersebut hampir tidak memerlukan arahan manusia. Tomshardware.com melaporkan bahwa kerentanan OpenBSD TCP SACK berusia 27 tahun, yaitu kelebihan bilangan bulat yang halus yang memungkinkan penyerang menjatuhkan host yang merespons dari jarak jauh dengan membuat paket berbahaya, ditemukan secara otonom setelah sekitar 1.000 kali eksekusi dengan total biaya di bawah $20.000. Sebuah bug FFmpeg H.264 yang berusia 16 tahun bertahan melewati lebih dari lima juta uji otomatis dan beberapa audit sebelum Mythos menemukannya.

Hasil pengujian browser menarik perhatian khusus. Pada pengujian mesin JavaScript Firefox 147, Mythos menghasilkan 181 eksploit shell penuh dan 29 kasus pengendalian register. Claude Opus 4.6 menghasilkan dua eksploit shell pada set pengujian yang sama. Model ini juga membangun rantai eskalasi hak akses kernel Linux yang berfungsi, dari pengguna ke root pada server, setelah menyaring 100 CVE terbaru menjadi 40 kandidat yang dapat dieksploitasi dan berhasil mengeksploitasi lebih dari setengahnya.

Validator manusia meninjau 198 laporan kerentanan model tersebut dan setuju dengan peringkat tingkat keparahannya 89% dari waktu, dengan 98% kesepakatan dalam satu tingkat keparahan.

Proyek Glasswing

Kurang dari 1% bug yang teridentifikasi telah diperbaiki sepenuhnya hingga saat ini. Anthropic mengoordinasikan pengungkapan yang bertanggung jawab, menerbitkan komitmen kriptografi SHA-3 untuk masalah yang belum diperbaiki, dan mengikuti jadwal 90 hari ditambah 45 hari sebelum merilis detail lengkap. Bug eksekusi kode jarak jauh pada server NFS FreeBSD CVE-2026-4747, yang berusia 17 tahun dan memberikan akses root tanpa otentikasi penuh, termasuk di antara contoh-contoh yang telah diungkapkan.

Proyek Glasswing, yang diumumkan bersamaan dengan model tersebut, merupakan upaya Anthropic untuk mengarahkan kemampuan ini ke bidang pertahanan sebelum alat serupa tersedia secara luas. Mitra pendiri meliputi Amazon Web Services, Apple, Broadcom, Cisco, Crowdstrike, Google, JPMorganChase, Linux Foundation, Microsoft, Nvidia, dan Palo Alto Networks. Akses diperluas ke lebih dari 40 organisasi perangkat lunak kritis lainnya.

Anthropic berkomitmen menyumbangkan $4 juta untuk keamanan sumber terbuka: $2,5 juta kepada Alpha-Omega melalui OpenSSF via Linux Foundation, dan $1,5 juta kepada Apache Software Foundation.

Perusahaan mengakui bahwa alat AI seperti Mythos menurunkan hambatan untuk menemukan dan mengeksploitasi kerentanan, serta menyoroti risiko jangka pendek dari aktor negara seperti China, Iran, Korea Utara, dan Rusia, serta kelompok kriminal jika kemampuan serupa menyebar tanpa pengawasan. Mereka menggambarkan periode gejolak transisi sebelum para pertahanan sepenuhnya mengintegrasikan teknologi tersebut.

Anthropic mengatakan rilis Claude Opus mendatang akan mencakup pengamanan untuk mendeteksi dan memblokir hasil keamanan siber yang berbahaya, serta berencana memperkenalkan Program Verifikasi Siber untuk para profesional keamanan yang telah diverifikasi. Laporan publik mengenai temuan mitra dan kerentanan yang telah diperbaiki diharapkan akan dirilis dalam waktu 90 hari.