Model kecerdasan buatan (AI) terbaru dan paling canggih dari Anthropic, yang diberi kode nama Mythos, telah menjadi pusat perhatian global setelah dilaporkan bocor dan diakses oleh sekelompok kecil pengguna tidak berwenang. Insiden ini, yang terjadi pada 7 April lalu, ironisnya bertepatan dengan pengumuman Anthropic mengenai perilisan terbatas Mythos untuk tujuan pengujian. Kebocoran ini tidak hanya menguak kerentanan dalam rantai pasok teknologi AI, tetapi juga memicu kekhawatiran serius tentang potensi penyalahgunaan teknologi yang sangat kuat dan berisiko tinggi.
Mythos, yang juga dikenal sebagai Claude Mythos Preview, bukanlah sekadar model AI biasa. Ia dirancang sebagai AI serbaguna dengan kemampuan luar biasa untuk mengidentifikasi sekaligus mengeksploitasi celah kerentanan di setiap sistem operasi (OS) dan browser yang ada. Bayangkan sebuah entitas digital yang mampu memindai jutaan baris kode, menganalisis arsitektur sistem, dan menemukan titik lemah tersembunyi yang bahkan tidak disadari oleh para ahli keamanan siber. Kemampuan ini mencakup identifikasi zero-day exploits (celah keamanan yang belum diketahui pengembang), eksploitasi konfigurasi sistem yang salah, hingga penemuan kelemahan dalam protokol jaringan. Dengan potensi destruktif yang demikian besar, Anthropic sendiri mengklaim Mythos terlalu berbahaya jika jatuh ke tangan yang salah, bahkan enggan merilisnya ke publik karena khawatir dapat dijadikan senjata siber.
Akses resmi ke Mythos sangat dibatasi melalui inisiatif khusus bernama Project Glasswing, yang hanya diberikan kepada segelintir perusahaan raksasa teknologi terkemuka dunia seperti Nvidia, Google, Amazon Web Services, Apple, dan Microsoft. Pihak pemerintah dari berbagai negara juga dilaporkan tengah mengincar teknologi mutakhir ini, menggarisbawahi nilai strategis dan potensi risiko yang terkandung di dalamnya. Pembatasan ketat ini seharusnya menjamin keamanan Mythos, namun realitasnya berkata lain.
Berdasarkan laporan investigasi dari Bloomberg, insiden kebocoran ini berawal dari celah akses milik seorang kontraktor pihak ketiga Anthropic. Anggota sebuah forum online tertutup, yang kemudian diketahui tergabung dalam sebuah saluran Discord yang memang berfokus mencari informasi mengenai model AI yang belum dirilis, berhasil menembus sistem keamanan yang dijaga ketat. Mereka menggunakan kombinasi taktik cerdik: memanfaatkan akses yang tidak semestinya dari kontraktor tersebut dan menggabungkannya dengan berbagai alat pelacakan internet yang umum digunakan.
Lebih lanjut, identitas kelompok peretas ini, meskipun belum diungkap ke publik, menggambarkan profil mereka sebagai individu yang memiliki keahlian teknis dan rasa ingin tahu yang tinggi terhadap teknologi AI mutakhir. Mereka berhasil menemukan lokasi online Mythos dengan menebak pola format model Anthropic lainnya, berbekal informasi berharga dari insiden kebocoran data Mercor yang baru-baru ini terjadi. Kebocoran Mercor secara tidak langsung memberikan petunjuk kritis yang memungkinkan kelompok ini memetakan jejak digital Anthropic dan menemukan celah.
Sejak berhasil menyusup pada 7 April, para anggota kelompok tersebut dilaporkan rutin menggunakan Mythos. Mereka bahkan berani memberikan bukti berupa tangkapan layar dan demonstrasi langsung pengoperasian model tersebut kepada pihak Bloomberg, menunjukkan tingkat keberanian dan kepercayaan diri yang tinggi. Ironisnya, untuk menghindari pelacakan dari sistem keamanan Anthropic, kelompok ini dengan sengaja tidak menggunakan Mythos untuk tugas-tugas yang berkaitan langsung dengan keamanan siber. Ini mengindikasikan bahwa mereka memahami betul implikasi dari tindakan mereka dan berusaha menghindari deteksi langsung, meskipun aksi mereka sendiri sudah merupakan pelanggaran serius. Laporan yang sama juga mengungkap fakta mengejutkan bahwa beberapa model AI Anthropic lain yang belum dirilis ternyata juga sudah lebih dulu dibobol oleh kelompok yang sama, mengindikasikan adanya kerentanan sistemik yang lebih luas dalam infrastruktur keamanan Anthropic.
Menanggapi insiden ini, juru bicara Anthropic menyatakan, "Kami sedang menyelidiki laporan yang mengklaim adanya akses tidak sah ke Claude Mythos Preview melalui salah satu lingkungan vendor pihak ketiga kami." Pihak perusahaan mengklaim belum ada bukti yang menunjukkan bahwa akses ilegal tersebut telah berdampak pada sistem internal Anthropic atau menyebar melampaui lingkungan vendor pihak ketiga mereka. Meskipun demikian, klaim ini perlu dicermati lebih lanjut. Kebocoran melalui lingkungan vendor pihak ketiga tetap merupakan celah keamanan yang signifikan. Lingkungan vendor seringkali terhubung dengan sistem internal perusahaan, dan meskipun dampak langsung belum terlihat, potensi risiko jangka panjang, seperti penyebaran malware atau pencurian data, tidak bisa diabaikan. Kepercayaan mitra dan reputasi Anthropic sebagai pengembang AI yang bertanggung jawab juga dipertaruhkan.
Bahaya dari kebocoran Mythos melampaui sekadar akses tidak sah. Jika kemampuan Mythos untuk mengeksploitasi kerentanan jatuh ke tangan aktor jahat—mulai dari kelompok peretas terorganisir, negara-bangsa yang ingin melancarkan perang siber, hingga individu dengan niat destruktif—dampaknya bisa katastropik. Mythos dapat digunakan untuk:
- Serangan Siber Skala Besar: Membangun alat peretas otomatis yang mampu menargetkan infrastruktur kritis, sistem keuangan global, atau jaringan pemerintah dengan efisiensi yang belum pernah terjadi sebelumnya.
- Perang Siber: Memberikan keuntungan taktis yang masif bagi negara yang memilikinya, memungkinkan mereka untuk melumpuhkan sistem pertahanan lawan, mencuri informasi rahasia, atau mengganggu layanan publik vital.
- Pencurian Data Massal: Mengeksploitasi jutaan celah di berbagai sistem untuk mencuri data pribadi, kekayaan intelektual, atau rahasia perusahaan dalam skala yang belum pernah ada.
- Pembuatan Malware Canggih: Menciptakan varian malware yang lebih adaptif, sulit dideteksi, dan mampu menembus pertahanan siber yang paling canggih sekalipun.
- Ancaman Terhadap Privasi Individu: Jika digunakan untuk mengeksploitasi perangkat pribadi atau layanan online, Mythos dapat membahayakan privasi dan keamanan jutaan pengguna.
Insiden ini menggarisbawahi beberapa pelajaran penting bagi industri AI dan dunia secara keseluruhan. Pertama, kerentanan rantai pasok adalah titik lemah krusial. Perusahaan AI yang mengembangkan teknologi canggih harus memastikan bahwa setiap mata rantai dalam ekosistem mereka, termasuk kontraktor pihak ketiga, memiliki standar keamanan yang setara dengan aset inti mereka. Kedua, dilema "dual-use" teknologi AI semakin nyata. Teknologi yang dirancang untuk tujuan baik, seperti mengidentifikasi kerentanan untuk memperbaikinya, dapat dengan mudah disalahgunakan untuk tujuan jahat. Ketiga, tekanan untuk mengembangkan model AI yang semakin kuat dengan cepat dapat mengorbankan aspek keamanan dan pengawasan. Balapan AI global menciptakan lingkungan di mana kecepatan inovasi terkadang mengalahkan kehati-hatian.
Kebocoran Mythos juga akan memicu perdebatan lebih lanjut tentang regulasi dan tata kelola AI. Apakah perusahaan AI dapat secara efektif mengatur diri mereka sendiri dalam mengembangkan dan mengamankan teknologi yang berpotensi sangat berbahaya? Atau apakah intervensi pemerintah dan kerangka regulasi internasional diperlukan untuk memastikan AI dikembangkan secara bertanggung jawab dan aman?
Meskipun Anthropic mengklaim tidak ada dampak internal yang terdeteksi, insiden ini adalah lonceng peringatan yang keras. Ini menunjukkan bahwa bahkan perusahaan yang paling berhati-hati dan berorientasi pada keamanan pun rentan terhadap kebocoran. Masa depan AI yang aman dan bertanggung jawab bergantung pada kolaborasi erat antara pengembang, peneliti keamanan, pembuat kebijakan, dan masyarakat sipil untuk membangun pertahanan yang lebih kuat, menetapkan standar etika yang jelas, dan mengatasi risiko yang melekat pada teknologi yang semakin canggih ini. Tanpa langkah-langkah proaktif dan tegas, bahaya dari model AI tercanggih yang bocor seperti Mythos akan terus menghantui era digital kita, mengubah inovasi menjadi ancaman yang tak terduga.
