AI Temukan 16 Kerentanan Windows Baru — Microsoft Umumkan Sistem Keamanan Otonom

Kemampuan AI dalam keamanan siber melaju lebih cepat dari yang diprediksi siapa pun. Dalam sepekan terakhir, tiga perkembangan besar terjadi secara bersamaan: pemerintah Inggris mengonfirmasi kemampuan AI otonom dalam serangan siber berlipat ganda setiap lima bulan, Microsoft menemukan 16 kerentanan baru di Windows menggunakan sistem AI multi-agent, dan OpenAI meluncurkan inisiatif pertahanan bernama Daybreak. Ini bukan lagi riset laboratorium — ini sudah menjadi kenyataan operasional.

Lompatan Besar Kemampuan AI dalam Keamanan Siber

Badan Keamanan AI Inggris (AISI) merilis data terbaru yang menunjukkan kecepatan kemampuan siber AI berlipat ganda setiap 4,7 bulan sejak akhir 2024 — akselerasi dari estimasi sebelumnya yang mencapai 8 bulan. Yang lebih mencengangkan, dua model terbaru — Claude Mythos Preview dari Anthropic dan GPT-5.5 dari OpenAI — melampaui tren eksponensial tersebut secara signifikan.

AISI menggunakan “cyber time horizon” untuk mengukur panjang tugas siber yang bisa diselesaikan AI, dibandingkan dengan waktu yang dibutuhkan pakar manusia. Dalam pengujian dengan batas 2,5 juta token, kedua model terbaru menunjukkan hasil yang mendorong batas kemampuan suite pengujian mereka sendiri.

Claude Mythos Preview menjadi model pertama yang menyelesaikan kedua cyber range milik AISI secara penuh. Dalam simulasi serangan jaringan perusahaan “The Last Ones” — skenario 32 langkah yang membutuhkan sekitar 20 jam bagi pakar manusia — Mythos Preview berhasil 6 dari 10 percobaan. GPT-5.5 menyusul dengan menyelesaikan “The Last Ones” dalam 3 dari 10 percobaan, menjadi model kedua yang mencapai pencapaian tersebut.

“Pertama kalinya kedua cyber range diselesaikan penuh oleh AI,” tulis AISI dalam laporannya. “Hasil ini menunjukkan bahwa lompatan kemampuan bukan hanya terjadi pada satu model, melainkan tren yang lebih luas.”

Microsoft MDASH: 16 Kerentanan Baru Ditemukan Tanpa False Positive

Di sisi pertahanan, Microsoft mengumumkan pencapaian spektakuler melalui sistem keamanan multi-agent bernama MDASH (codename). Sistem yang dibangun oleh tim Autonomous Code Security ini mengoordinasikan lebih dari 100 agen AI terspesialisasi — masing-masing dengan peran berbeda: auditor, debater, prover — untuk menemukan, memperdebatkan, dan membuktikan kerentanan secara end-to-end.

Hasil Patch Tuesday 12 Mei 2026 menjadi bukti nyata: 16 CVE baru ditemukan di stack jaringan Windows, 4 di antaranya berkategori Critical Remote Code Execution. Yang paling kritis: CVE-2026-33827, kerentanan use-after-free di tcpip.sys yang bisa dieksploitasi dari jarak jauh tanpa autentikasi melalui paket IPv4 yang direkayasa.

Skor MDASH di benchmark CyberGym — yang menguji 1.507 kerentanan dunia nyata — mencapai 88,45%, memimpin leaderboard dengan selisih sekitar 5 poin dari pesaing terdekat. Dalam pengujian internal menggunakan driver fiktif dengan 21 kerentanan yang sengaja ditanam, MDASH menemukan semua 21 tanpa satu pun false positive.

Tim di balik MDASH bukan pemain baru. Beberapa anggotanya berasal dari Team Atlanta, pemenang DARPA AI Cyber Challenge senilai 29,5 juta dolar, yang membangun sistem penalaran siber otonom yang berhasil menemukan dan menambal bug nyata di proyek open source kompleks. “Model hanyalah satu input. Sistem adalah produknya,” tulis tim Microsoft.

MDASH saat ini digunakan oleh tim engineering keamanan Microsoft dan sedang diuji oleh sejumlah kecil pelanggan dalam private preview terbatas.

OpenAI Daybreak dan Anthropic Project Glasswing — Perlombaan AI Keamanan

Di tengah kekhawatiran tentang kemampuan ofensif AI, dua perusahaan AI terbesar berlomba membangun sisi pertahanan. OpenAI meluncurkan Daybreak — inisiatif yang menggunakan agen AI Codex Security untuk membuat threat model dari kode organisasi, memvalidasi kemungkinan kerentanan, dan mengotomasi deteksi risiko tinggi.

Daybreak menggabungkan beberapa model OpenAI paling canggih, termasuk GPT-5.5 dengan Trusted Access for Cyber dan GPT-5.5-Cyber yang mulai dirilis pekan lalu. OpenAI menyatakan mereka bekerja sama dengan “mitra industri dan pemerintah” untuk mempersiapkan penyebaran model yang semakin mampu dalam keamanan siber.

Sementara itu, Anthropic menjalankan Project Glasswing dengan Claude Mythos — model keamanan yang disebut “terlalu berbahaya untuk rilis publik.” Meski demikian, beberapa pihak dilaporkan berhasil mengakses model ini tanpa otorisasi, memicu kekhawatiran baru tentang penyebaran kemampuan siber AI.

XBOW, perusahaan yang mengembangkan benchmark CyberGym, menyebut “frontier models have taken a major step forward in vulnerability discovery.” Pergeseran dari riset ke produksi sudah terjadi.

Apa Artinya untuk Indonesia?

Perkembangan ini bukan berita jauh dari realitas Indonesia. Infrastruktur digital Indonesia yang masih berkembang justru membuat negara ini semakin rentan terhadap serangan berbasis AI.

Kemampuan AI yang bisa menemukan kerentanan tanpa autentikasi — seperti CVE-2026-33827 di tcpip.sys yang ditemukan MDASH — berarti sistem yang belum di-patch menjadi target empuk, bahkan untuk penyerang tanpa keahlian teknis tingkat tinggi. Dengan kemampuan AI yang semakin otonom, hambatan teknis untuk melancarkan serangan siber menurun drastis.

BSSN (Badan Siber dan Sandi Negara) perlu merespons tren ini secara proaktif. Di satu sisi, AI bisa menjadi alat pertahanan yang powerful — seperti yang ditunjukkan Microsoft dengan MDASH. Di sisi lain, Indonesia perlu mempercepat adopsi praktik keamanan siber dasar: update rutin, kontrol akses ketat, logging komprehensif, dan patch management yang disiplin.

Skema Cyber Essentials dari NCSC Inggris bisa jadi referensi bagi Indonesia dalam membangun standar keamanan yang adaptif terhadap era AI. Prinsip dasarnya sederhana: jika kamu bisa menjaga hygiene keamanan siber yang baik — patch tepat waktu, konfigurasi yang benar, akses terbatas — sebagian besar serangan, termasuk yang dibantu AI, akan gagal di garis pertama.

Peluangnya juga ada: AI bisa membantu Indonesia menemukan kerentanan di sistem pemerintahan dan infrastruktur kritis sebelum diserang. Pertanyaannya bukan apakah Indonesia siap, tapi seberapa cepat bisa beradaptasi.

Peringatan dari Regulator

NCSC (National Cyber Security Centre) Inggris sudah mengeluarkan peringatan resmi: organisasi perlu bersiap menghadapi “vulnerability patch wave” — gelombang penambalan kerentanan yang akan membanjiri tim IT. Jika AI menemukan bug lebih cepat dari sebelumnya, maka patch juga harus didistribusikan lebih cepat.

AISI menekankan bahwa ini bukan prediksi masa depan — ini gambaran tren yang sedang terjadi. “Kemampuan siber otonom AI frontier berkembang pesat: panjang tugas siber yang bisa diselesaikan model frontier berlipat dalam urutan bulan, bukan tahun,” tulis mereka.

Penting dicatat bahwa pengujian AISI membatasi AI pada 2,5 juta token per tugas — angka yang relatif rendah. Dalam eksperimen cyber range, mereka menggunakan hingga 100 juta token, dan performa terus meningkat bahkan di batas tersebut. “Batas ini secara artifisial menurunkan tingkat keberhasilan dan meremehkan apa yang bisa dilakukan model,” tulis AISI.

Kesimpulannya jelas: AI sudah bukan ancaman teoritis di dunia keamanan siber. Ini sudah terjadi, dan kecepatannya melampaui ekspektasi. AISI secara eksplisit menyatakan bahwa mereka sedang membangun evaluasi siber yang lebih keras — termasuk range dengan pertahanan aktif — untuk mengejar kecepatan perkembangan model. Tapi bagi organisasi yang tidak memiliki kemampuan evaluasi AI, prinsip keamanan dasar tetap menjadi benteng pertama dan terpenting.

Artikel ini membahas perkembangan AI cybersecurity berdasarkan laporan resmi AISI UK, Microsoft Security Blog, dan The Verge. Data pengujian berasal dari evaluasi yang dilakukan dalam lingkungan terkontrol dan tidak merefleksikan akses publik terhadap model-model tersebut.