|

Google Temukan Eksploit Zero-Day Pertama Buatan AI dan Gagalkan Serangan Massal

ByHeriyadi

Google telah mengidentifikasi eksploit zero-day pertama yang diyakini dikembangkan dengan kecerdasan buatan. Kelompok kriminal yang membuatnya berencana menggunakannya dalam serangan eksploitasi massal. Google Threat Intelligence Group (GTIG) menemukan kerentanan tersebut sebelum sempat digunakan.

Eksploit ini berupa skrip Python yang melewati autentikasi dua faktor (2FA) pada alat administrasi sistem open-source yang populer. Kode tersebut mengandung skor CVSS yang dihalusinasi, docstrings edukasional, dan format textbook terstruktur yang menjadi ciri khas output model bahasa besar (LLM). Google memiliki keyakinan tinggi bahwa AI digunakan untuk menemukan dan mempersenjatai celah keamanan ini.

Perlombaan Senjata Siber AI Telah Dimulai

Laporan GTIG mendokumentasikan transisi dari peretasan eksperimental berbasis AI ke apa yang mereka sebut “aplikasi skala industri model generatif dalam alur kerja adversarial”:

  • Aktor negara China dan Korea Utara menggunakan AI untuk riset kerentanan
  • Aktor Rusia menyebarkan kode umpan buatan AI terhadap target Ukraina
  • PROMPTSPY — malware Android yang menggunakan Gemini API Google sendiri untuk menavigasi perangkat korban secara otonom, menangkap data biometrik, dan memblokir uninstall-nya sendiri

“Ada kesalahpahaman bahwa perlombaan kerentanan AI masih akan datang. Kenyataannya sudah dimulai,” kata John Hultquist, Kepala Analis GTIG. “Untuk setiap zero-day yang bisa kami lacak ke AI, mungkin masih banyak lagi di luar sana.”

Malware Otonom PROMPTSPY

PROMPTSPY adalah backdoor Android yang pertama diidentifikasi oleh ESET pada Februari 2026. Malware ini mengandung modul agen otonom bernama GeminiAutomationAgent yang menserialisasi hierarki UI perangkat ke format XML-like dan mengirimnya ke model gemini-2.5-flash-lite. Model mengembalikan response JSON berisi jenis tindakan dan koordinat spasial, yang PROMPTSPY parsing untuk mensimulasikan gestur fisik — klik, gesek, dan navigasi — tanpa pengawasan manusia.

Malware ini dapat menangkap data biometrik korban untuk memutar ulang gestur autentikasi dan mendapatkan kembali akses ke perangkat yang dikompromikan. Jika korban mencoba menghapusnya, malware mengidentifikasi koordinat tombol uninstall dan merender overlay tak terlihat yang mencegat sentuhan.

Serangan Rantai Pasok

Kelompok kriminal siber TeamPCP mengaku bertanggung jawab atas kompromi rantai pasok beberapa repositori GitHub populer, termasuk Trivy, Checkmarx, LiteLLM, dan BerriAI. Kompromi LiteLLM — utilitas gateway AI yang digunakan untuk mengintegrasikan berbagai penyedia model bahasa — sangat signifikan karena dapat mengekspos rahasia API AI di seluruh rantai pasok perangkat lunak.

AI Defensif vs AI Ofensif

Google merespons dengan Big Sleep, agen AI yang dikembangkan Google DeepMind dan Google Project Zero untuk mencari kerentanan keamanan yang tidak diketahui. Big Sleep menemukan celah yang direncanakan kelompok kriminal sebelum serangan diluncurkan. Google juga meluncurkan CodeMender, agen bertenaga AI yang menggunakan kemampuan reasoning Gemini untuk memperbaiki kerentanan kode kritis secara otomatis.

Laporan GTIG setebal 33 halaman ini adalah bukti bahwa perlombaan senjata AI siber telah bergerak dari hipotesis menjadi realitas operasional. Pertanyaan yang tidak dijawab laporan: berapa banyak zero-day yang sudah ditemukan oleh aktor yang belum terdeteksi Google?

Sumber

“Google found the first AI-generated zero-day exploit. It stopped the attack before it started.” — The Next Web, 12 Mei 2026 oleh Alina Maria Stan.

Gambar oleh Markus Spiske via Unsplash.

Konteks Tambahan untuk Pembaca Indonesia

Berita ini penting karena perkembangan AI global semakin cepat memengaruhi cara orang bekerja, belajar, membuat konten, membangun aplikasi, dan mengambil keputusan bisnis. Untuk pembaca Indonesia, konteks yang perlu diperhatikan bukan hanya siapa perusahaan yang merilis teknologi baru, tetapi juga dampaknya terhadap biaya, akses, regulasi, peluang kerja, dan keamanan data.

Setiap kabar tentang model AI, kebijakan perusahaan besar, investasi, atau regulasi sebaiknya dibaca dengan sikap kritis. Banyak pengumuman teknologi memakai bahasa pemasaran yang terdengar sangat meyakinkan, tetapi belum tentu langsung relevan untuk kebutuhan sehari-hari. Karena itu, pembaca perlu membedakan antara klaim perusahaan, hasil benchmark, pengalaman pengguna, dan bukti penggunaan nyata di lapangan.

Dampak Potensial

  • Untuk pekerja: AI dapat mempercepat drafting, analisis, coding, riset, dan dokumentasi, tetapi tetap butuh verifikasi manusia.
  • Untuk bisnis: adopsi AI dapat menekan biaya operasional, namun juga menambah kebutuhan tata kelola data dan keamanan.
  • Untuk pelajar: AI bisa menjadi tutor personal, tetapi penggunaan yang salah dapat mengurangi kemampuan berpikir mandiri.
  • Untuk developer: model dan API baru membuka peluang produk baru, tetapi juga menuntut pengujian yang lebih disiplin.

Cara Menyikapi Berita Ini

Jangan langsung mengambil keputusan hanya berdasarkan satu sumber. Bandingkan dengan rilis resmi, laporan media lain, dokumentasi produk, dan pengalaman komunitas. Jika berita menyangkut tools yang ingin digunakan, lakukan uji kecil terlebih dahulu. Catat kualitas hasil, biaya, kecepatan, keamanan, dan keterbatasannya. Pendekatan bertahap seperti ini membuat pembaca lebih siap memanfaatkan AI tanpa terjebak hype.

Konteks Tambahan untuk Pembaca Indonesia

Berita ini penting karena perkembangan AI global semakin cepat memengaruhi cara orang bekerja, belajar, membuat konten, membangun aplikasi, dan mengambil keputusan bisnis. Untuk pembaca Indonesia, konteks yang perlu diperhatikan bukan hanya siapa perusahaan yang merilis teknologi baru, tetapi juga dampaknya terhadap biaya, akses, regulasi, peluang kerja, dan keamanan data.

Setiap kabar tentang model AI, kebijakan perusahaan besar, investasi, atau regulasi sebaiknya dibaca dengan sikap kritis. Banyak pengumuman teknologi memakai bahasa pemasaran yang terdengar sangat meyakinkan, tetapi belum tentu langsung relevan untuk kebutuhan sehari-hari. Karena itu, pembaca perlu membedakan antara klaim perusahaan, hasil benchmark, pengalaman pengguna, dan bukti penggunaan nyata di lapangan.

Dampak Potensial

  • Untuk pekerja: AI dapat mempercepat drafting, analisis, coding, riset, dan dokumentasi, tetapi tetap butuh verifikasi manusia.
  • Untuk bisnis: adopsi AI dapat menekan biaya operasional, namun juga menambah kebutuhan tata kelola data dan keamanan.
  • Untuk pelajar: AI bisa menjadi tutor personal, tetapi penggunaan yang salah dapat mengurangi kemampuan berpikir mandiri.
  • Untuk developer: model dan API baru membuka peluang produk baru, tetapi juga menuntut pengujian yang lebih disiplin.

Cara Menyikapi Berita Ini

Jangan langsung mengambil keputusan hanya berdasarkan satu sumber. Bandingkan dengan rilis resmi, laporan media lain, dokumentasi produk, dan pengalaman komunitas. Jika berita menyangkut tools yang ingin digunakan, lakukan uji kecil terlebih dahulu. Catat kualitas hasil, biaya, kecepatan, keamanan, dan keterbatasannya. Pendekatan bertahap seperti ini membuat pembaca lebih siap memanfaatkan AI tanpa terjebak hype.

Konteks Tambahan untuk Pembaca Indonesia

Berita ini penting karena perkembangan AI global semakin cepat memengaruhi cara orang bekerja, belajar, membuat konten, membangun aplikasi, dan mengambil keputusan bisnis. Untuk pembaca Indonesia, konteks yang perlu diperhatikan bukan hanya siapa perusahaan yang merilis teknologi baru, tetapi juga dampaknya terhadap biaya, akses, regulasi, peluang kerja, dan keamanan data.

Setiap kabar tentang model AI, kebijakan perusahaan besar, investasi, atau regulasi sebaiknya dibaca dengan sikap kritis. Banyak pengumuman teknologi memakai bahasa pemasaran yang terdengar sangat meyakinkan, tetapi belum tentu langsung relevan untuk kebutuhan sehari-hari. Karena itu, pembaca perlu membedakan antara klaim perusahaan, hasil benchmark, pengalaman pengguna, dan bukti penggunaan nyata di lapangan.

Dampak Potensial

  • Untuk pekerja: AI dapat mempercepat drafting, analisis, coding, riset, dan dokumentasi, tetapi tetap butuh verifikasi manusia.
  • Untuk bisnis: adopsi AI dapat menekan biaya operasional, namun juga menambah kebutuhan tata kelola data dan keamanan.
  • Untuk pelajar: AI bisa menjadi tutor personal, tetapi penggunaan yang salah dapat mengurangi kemampuan berpikir mandiri.
  • Untuk developer: model dan API baru membuka peluang produk baru, tetapi juga menuntut pengujian yang lebih disiplin.

Cara Menyikapi Berita Ini

Jangan langsung mengambil keputusan hanya berdasarkan satu sumber. Bandingkan dengan rilis resmi, laporan media lain, dokumentasi produk, dan pengalaman komunitas. Jika berita menyangkut tools yang ingin digunakan, lakukan uji kecil terlebih dahulu. Catat kualitas hasil, biaya, kecepatan, keamanan, dan keterbatasannya. Pendekatan bertahap seperti ini membuat pembaca lebih siap memanfaatkan AI tanpa terjebak hype.

Lanjut Belajar AI

Jika artikel ini membantu, lanjutkan ke materi terstruktur agar pemahaman AI lebih rapi dan praktis.

Buka Materi Belajar AILihat AI Tools

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *