Google Ganggu Upaya Peretas Gunakan AI untuk Eksploitasi Zero-day

Google pada Senin mengumumkan berhasil menggagalkan upaya kelompok kriminal yang memanfaatkan kecerdasan buatan untuk menemukan dan mengeksploitasi kerentanan zero-day pada sebuah alat administrasi online populer. Perusahaan mengatakan telah memberi tahu pihak yang terdampak dan penegak hukum, serta menghentikan operasi sebelum menimbulkan kerusakan.

AI dipakai untuk menemukan dan mengekploitasi celah

Analisis tim intelijen ancaman Google menemukan jejak penggunaan large language model untuk menemukan bug yang memungkinkan pelaku melewati autentikasi dua faktor. Google menyebut ini sebagai zero-day exploit, yaitu celah yang belum memiliki perbaikan resmi.

Perusahaan tidak menyebut model AI atau nama alat administrasi yang disasar. Google juga menyatakan tidak menemukan bukti keterkaitan dengan pemerintahan asing, meski menyebut beberapa kelompok terkait China dan Korea Utara mengeksplorasi teknik sejenis.

"It's here. The era of AI-driven vulnerability and exploitation is already here,"

— John Hultquist, Chief Analyst tim intelijen ancaman Google.

Bagaimana Google merespons

Google melaporkan temuannya kepada perusahaan yang terdampak dan aparat penegak hukum. Menurut perusahaan, operasi itu berhasil diganggu sebelum data dicuri atau kerusakan terjadi. Namun temuan ini memperkuat kekhawatiran bahwa AI mempercepat kemampuan peretas untuk menemukan dan mengweaponisasi bug.

"There's a race between you and them to stop them before they can essentially get whatever data they need to extort you with, or launch ransomware,"

— John Hultquist.

Reaksi industri dan kebijakan

Kasus ini muncul bersamaan dengan lonjakan kemampuan model AI terbaru, termasuk model yang dikembangkan oleh beberapa perusahaan besar. Beberapa penyedia AI merilis versi yang dikhususkan untuk membantu pembelaan siber, sementara pembuat lainnya membatasi distribusi model yang dianggap sangat mampu melakukan pekerjaan hacking.

Di level kebijakan, pemerintahan kini memberikan sinyal campur: ada upaya evaluasi model AI paling kuat sebelum rilis publik, namun juga perdebatan soal perlunya regulasi lebih ketat.

"Some people don't want there to be a regulatory response to this and others do. I don't like regulation. I would prefer for things not to be regulated. But I think we need to in this case,"

— Dean Ball, mantan penasihat kebijakan teknologi Gedung Putih.

Implikasi dan langkah ke depan

Para pakar memperingatkan masa transisi di mana risiko keamanan siber meningkat karena AI mempercepat penemuan celah. Perbaikan menyeluruh pada perangkat lunak yang menopang infrastruktur global diperkirakan butuh waktu lama dan koordinasi luas antara perusahaan, pemerintah, dan penyedia layanan AI.

Kasus Google ini menjadi peringatan nyata bahwa kemampuan AI untuk mempercepat eksploitasi celah sudah menjadi realitas. Langkah mitigasi, peningkatan deteksi, dan kebijakan terkoordinasi dinilai penting untuk mengurangi dampak serangan di masa mendatang.