10.000 vs. 75.
Itulah dua angka paling mencolok dalam laporan bulan pertama Project Glasswing yang dirilis Anthropic pada Jumat lalu (22 Mei). Selama sebulan terakhir, Claude Mythos Preview, bekerja sama dengan 50 organisasi mitra, menemukan lebih dari 10.000 kerentanan perangkat lunak tingkat tinggi dan kritis—tetapi hanya 75 yang benar-benar telah ditambal.
Masalah utamanya bukanlah 'berapa banyak yang ditemukan', melainkan 'berapa sedikit yang diperbaiki'.
Berdasarkan angka
Anthropic sendiri memindai lebih dari 1.000 proyek sumber terbuka dengan Mythos, mengidentifikasi 23.019 kerentanan, di mana 6.202 di antaranya berisiko tinggi atau kritis. Cloudflare juga menjalankan pemindaian sendiri dan menemukan lebih dari 2.000, termasuk 400 yang berisiko tinggi. Mozilla memperbaiki 271 kerentanan dalam satu rilis Firefox 150—lebih dari 10 kali lipat jumlah yang diperbaiki di Firefox 148.
50 organisasi mitra mencakup 12 nama terkenal di tingkat pertama: AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan, Linux Foundation, Microsoft, Nvidia, dan Palo Alto Networks. Lebih dari 40 peserta tingkat kedua juga mendukung infrastruktur kritis.
Bersama-sama, angka-angka ini mewakili permukaan serangan nyata yang dipindai secara sistematis oleh AI modern selama sebulan terakhir.
- 1.000+ proyek sumber terbuka dipindai oleh Anthropic
- 23.019 total kerentanan ditemukan dalam kode sumber terbuka
- 6.202 di antaranya berisiko tinggi atau kritis
- 2.000 kerentanan ditemukan oleh Cloudflare di sistemnya sendiri
- 271 kerentanan diperbaiki dalam satu rilis Firefox 150
- 530 kerentanan berisiko tinggi dan kritis dilaporkan secara resmi oleh Anthropic kepada pengelola
- 75 benar-benar ditambal
Kemacetan tambalan
Anthropic sendiri mengakui hal ini. Posting blog tersebut menyatakan:
"Kemajuan keamanan perangkat lunak dulu dibatasi oleh seberapa cepat kami dapat menemukan kerentanan baru. Sekarang dibatasi oleh seberapa cepat kami dapat memverifikasi, mengungkapkan, dan menambal."
Dengan kata sederhana: dulu kami tidak bisa menemukannya; sekarang kami tidak bisa memperbaikinya cukup cepat.
Anthropic secara resmi melaporkan 530 kerentanan berisiko tinggi dan kritis kepada pengelola. Pada saat laporan bulan pertama, hanya 75 yang telah ditambal, dan hanya 65 yang memiliki advisory keamanan publik. Corong menyempit di setiap tahap: 530 → 75 → 65.
Lebih canggungnya, beberapa pengelola telah meminta Anthropic untuk memperlambat pelaporan—"jangan kirim terlalu banyak sekaligus." Proyek sumber terbuka kecil dan menengah tidak memiliki tenaga untuk memverifikasi, memperbaiki, menguji, dan meregresi setiap kerentanan.
Perlombaan melawan waktu
Wakil Presiden Microsoft Igor Tsyganskiy memberikan komentar tegas dalam pernyataan mitra:
"Apa yang dulu memakan waktu berbulan-bulan sekarang terjadi dalam hitungan menit."
Jendela dari penemuan kerentanan hingga eksploitasi telah menyusut dari berbulan-bulan menjadi hitungan menit. Itulah mengapa angka 75 membuat merinding. Jika kemampuan seperti Mythos segera jatuh ke tangan penyerang—yang kemungkinan hanya masalah waktu—jadwalnya menjadi:
- Menemukan kerentanan: hitungan menit, dengan pemindaian otomatis AI
- Menulis kode eksploitasi: hitungan menit, dengan AI menghasilkan kode proof-of-concept
- Memberi tahu pengelola: hitungan hari
- Menambal kerentanan: hitungan minggu, bulan, atau bahkan lebih lama
CTO Palo Alto Networks Lee Klarich berkata terus terang:
"Mythos Preview adalah pengubah permainan."
Tapi kalimat berikutnya lebih penting: "Penyerang akan segera dapat menemukan kerentanan lebih cepat dari sebelumnya."
Kemana uang mengalir
Anthropic telah berinvestasi dalam Project Glasswing sebagai berikut:
- $100 juta: kredit penggunaan model untuk organisasi mitra
- $2,5 juta: untuk Alpha-Omega dan OpenSSF (melalui Linux Foundation)
- $1,5 juta: untuk Apache Software Foundation
Pesannya jelas: penggunaan model gratis, tetapi pengelola sumber terbuka membutuhkan pendanaan. $100 juta terdengar banyak, tetapi jika dibagi di antara 50 mitra, masing-masing mendapat $2 juta—dan beban kerja yang dihasilkan oleh kerentanan yang ditemukan jauh melampaui apa yang dapat ditangani oleh pihak sumber terbuka.
Jim Zemlin dari Linux Foundation menggambarkan Project Glasswing sebagai memberikan "jalan yang kredibel" bagi pengelola sumber terbuka—jalannya sudah diberikan, tetapi mereka tetap harus menjalankannya sendiri.
Apa artinya
Dalam jangka pendek, dari paruh kedua tahun ini hingga tahun depan, jumlah tambalan dari perusahaan besar akan terus meningkat. Microsoft telah mengatakan "paket tambalan akan terus bertambah." Oracle juga mempercepat rilis tambalan, beberapa kali lebih cepat dari sebelumnya. Firefox 150 memperbaiki 271 kerentanan; Firefox 151 kemungkinan akan memperbaiki lebih banyak lagi.
Dalam jangka menengah, masalah 'kelelahan pengelola' di ekosistem sumber terbuka akan menjadi sorotan. Paket npm yang dikelola sukarelawan yang dulu merilis satu tambalan per tahun kini mungkin menerima 30 laporan Mythos. Mereka tidak bisa memperbaiki semuanya. Memutuskan mana yang diperbaiki terlebih dahulu, mana yang belakangan, dan mana yang diabaikan akan menjadi masalah politik baru.
Dalam jangka panjang, Project Glasswing mengungkap kebenaran yang lebih dalam: AI telah memangkas biaya penemuan hingga ke tulang, tetapi biaya perbaikan—biaya overhead rekayasa dan organisasi—tidak akan berkurang secara otomatis seiring peningkatan model. Dekade keamanan siber berikutnya tidak akan tentang AI siapa yang dapat menemukan lebih banyak kerentanan, tetapi tentang tim rekayasa siapa yang dapat mengubah lebih banyak kerentanan 'menunggu' menjadi 'selesai'.
10.000 vs. 75. Rasio itu adalah soal ujian untuk fase berikutnya.
Sumber: Project Glasswing: An Initial Update (Anthropic Research); Anthropic finds over 10,000 software flaws in first month of Project Glasswing (Interesting Engineering); Anthropic's Glasswing — 10,000 Vulnerabilities Found in One Month, and the Patching Problem Has Never Been More Obvious (Security Affairs); CocoLoop