Perangkat lunak engineer Jeff Kaufman (jefftk) pada 8 Mei mempublikasikan artikel berjudul “AI is Breaking Two Vulnerability Cultures”, dengan argumen bahwa AI sekaligus mematahkan dua budaya penanganan celah keamanan yang sudah lama berdampingan—coordinated disclosure dan “bugs are bugs”—dengan asumsi bahwa “kecepatan deteksi penyerang yang lambat” yang menjadi dasar kedua strategi itu, kini telah ditembus oleh teknologi pemindaian otomatis berbasis AI. Teks asli blog Kaufman juga meraih lebih dari 200 poin panas di Hacker News, menjadikannya salah satu artikel pengamatan keamanan yang paling banyak dibahas dalam komunitas developer pada pekan ini.
Dua budaya celah: coordinated disclosure vs “bugs are bugs”
Dua kerangka budaya yang dirangkum Kaufman:
Coordinated disclosure—penemu memberi tahu para pemelihara secara privat, disertai jendela perbaikan tipikal 90 hari, lalu pengungkapan publik. Asumsinya: penyerang perlu waktu untuk menemukan celah yang sama secara mandiri
“Bugs are Bugs” (perbaikan senyap)—praktik yang umum pada proyek open source seperti Linux, di mana saat memperbaiki, tidak diberi label khusus sebagai perbaikan keamanan, mengandalkan “menenggelamkan” perbaikan keamanan lewat arus kontribusi, serta menghindari menarik perhatian penyerang
Dua budaya ini bisa saling mengisi selama ini, karena penyerang tidak memiliki alat untuk memindai seluruh riwayat commit secara cepat, otomatis, dan berbiaya rendah, atau untuk mencari celah yang sama secara simultan. AI mengubah asumsi tersebut.
Dampak AI pada “bugs are bugs”: pemindaian commit jadi murah
Dampak spesifik AI pada proyek open source bergaya Linux:
Dulu: penyerang harus meninjau commit satu per satu, membutuhkan banyak tenaga dan waktu; “ditenggelamkan dalam volume kontribusi” adalah penutupan yang efektif
Sekarang: AI dapat memindai riwayat commit dengan biaya rendah, mengidentifikasi secara otomatis commit yang “tampak seperti perbaikan keamanan”, meskipun penulis tidak menyatakannya secara eksplisit
Dampak: sifat tersembunyi dari “bugs are bugs” sedang cepat kehilangan efektivitas, dan masa tenggang “setelah perbaikan menunggu deployment” makin tertekan
Kaufman mengutip contoh konkret: “meninjau commit (examining commits) semakin menarik”, karena penilaian AI untuk setiap perubahan “semakin murah, semakin efektif”. Ini berarti, di masa depan, proyek open source tak lagi bisa mengandalkan keunggulan tradisional “kecepatan perbaikan yang lebih cepat daripada perhatian penyerang”.
Dampak AI pada “coordinated disclosure”: masa embargo 90 hari jadi kontraproduktif
Inti budaya coordinated disclosure adalah “masa embargo”, saat penemu berjanji untuk tidak memublikasikan sebelum pemelihara sempat memperbaiki—tetapi AI memungkinkan banyak tim untuk memindai celah yang sama secara serentak:
Contoh konkret: celah yang dilaporkan peneliti Hyunwoo Kim, 9 jam kemudian sudah ditemukan secara independen
Tim yang dibantu pemindaian AI dapat beroperasi sinkron; masa embargo yang panjang justru memberi “rasa semu tidak terburu-buru”
Jika orang lain bisa menemukannya dalam 9 jam, maka embargo 90 hari memberi celah penyerangan asli kepada penyerang yang sesungguhnya: 89 hari 23 jam waktu serangan
Kesimpulan Kaufman: ke depan perlu memakai “masa embargo yang sangat singkat” (very short embargoes), dan makin meningkatnya kemampuan AI akan membuatnya makin dipangkas. Yang penting: percepatan oleh AI tidak semata-mata menguntungkan penyerang—pihak bertahan juga bisa mempercepat perbaikan dan deployment dengan AI; kedua pihak akan bersaing dalam jendela waktu yang makin dipersempit.
Peristiwa spesifik yang bisa ditelusuri selanjutnya: apakah proyek besar seperti Linux Kernel dan Project Zero akan memperbarui panduan jadwal pengungkapan, kemajuan komersialisasi alat pemindaian celah otomatis berbasis AI (Semgrep, CodeQL, dll.), serta strategi penanganan spesifik yang diambil divisi keamanan siber perusahaan terhadap “AI yang bagaikan pedang bermata dua”.
Artikel ini Jeff Kaufman: AI secara bersamaan mematahkan dua budaya celah keamanan, masa embargo 90 hari jadi kontraproduktif pertama kali muncul di 鏈新聞 ABMedia.
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
