Era baru perburuan celah keamanan siber kian nyata seiring meningkatnya kemampuan kecerdasan buatan (AI) dalam membedah perangkat lunak lama. Hal ini tergambar dari eksperimen yang dilakukan Chief Technology Officer (CTO) Microsoft Azure, Mark Russinovich, saat menguji model AI Claude Opus 4.6 buatan Anthropic terhadap program lawas yang ia tulis hampir 40 tahun lalu.
Melalui unggahan di LinkedIn, Russinovich menceritakan bahwa ia memasukkan kode biner dari era komputer Apple II ke sistem Claude Opus 4.6. Kode tersebut adalah “Enhancer”, program kecil yang ia buat pada Mei 1986 menggunakan bahasa mesin (assembly) 6502.
Pada masanya, “Enhancer” digunakan untuk memodifikasi bahasa pemrograman Applesoft BASIC agar dapat memakai variabel pada perintah GOTO, GOSUB, dan RESTORE.
Menurut Russinovich, hasilnya di luar dugaan. Claude Opus 4.6 tidak hanya mampu membaca kode tersebut, tetapi juga melakukan decompile dari bahasa mesin 6502 ke format yang lebih mudah dipahami. AI itu turut menambahkan label serta komentar logika yang dinilai sangat akurat.
Lebih jauh, Claude Opus 4.6 disebut berhasil menemukan kesalahan logika yang tersembunyi selama puluhan tahun. Salah satu temuan yang disorot adalah bug berupa “silent incorrect behavior”, yakni perilaku keliru yang terjadi tanpa memunculkan peringatan.
AI mendeteksi bahwa ketika program tidak menemukan baris tujuan yang dicari, sistem tidak menampilkan error. Sebaliknya, eksekusi justru dapat melompat ke baris berikutnya atau bahkan berlanjut hingga akhir program.
Claude juga memberikan saran perbaikan yang relevan dengan pola pemrograman 6502. Russinovich menyebut AI menyarankan penambahan instruksi untuk memeriksa status carry flag—yang akan aktif bila baris tidak ditemukan—lalu mengarahkan eksekusi ke mekanisme penanganan error.
Bagi Russinovich, kemampuan AI membedah program hobi dari era 1980-an bukan sekadar demonstrasi teknologi. Ia menilai hal ini sebagai sinyal serius bahwa penemuan kerentanan akan semakin dipercepat dan dapat berjalan otomatis.
“Kita sedang memasuki era penemuan kerentanan yang diakselerasi oleh AI dan berjalan secara otomatis. Kemampuan ini akan dimanfaatkan oleh pihak yang bertahan maupun para penyerang,” tulis Russinovich.
Ia menilai, jika model bahasa besar (LLM) mampu melakukan rekayasa balik dan menalar kode biner yang sangat primitif, maka risiko terhadap sektor infrastruktur vital ikut meningkat. Saat ini, terdapat miliaran perangkat embedded dan mikrokontroler yang masih mengandalkan firmware lawas, rapuh, dan jarang diaudit secara memadai.
Dalam skenario terburuk, para peretas dapat mengerahkan agen AI untuk memindai dan mengeksploitasi celah pada sistem-sistem lama tersebut. Masalahnya, sebagian infrastruktur tua itu juga disebut sudah tidak memungkinkan lagi untuk ditambal atau diperbarui.
Anthropic sebelumnya juga telah menyinggung kemampuan model tersebut dalam mencari bug. Saat merilis Claude Opus 4.6 pada awal bulan lalu, tim keamanan internal perusahaan memperingatkan bahwa model itu sangat cakap dalam menemukan kerentanan.
Sebagai pembanding, ketika diarahkan untuk menguji pemrograman browser Firefox, Claude Opus 4.6 dilaporkan berhasil menemukan 14 kerentanan tingkat tinggi (CVE) dalam waktu dua pekan, termasuk celah yang disebut luput dari pantauan manusia selama puluhan tahun.
