Dalam waktu hanya dua minggu pada Januari 2026, kecerdasan buatan Claude Opus 4.6 dari Anthropic berhasil mengungkap 22 kerentanan keamanan baru di browser Firefox. Dari jumlah tersebut, 14 dikategorikan berat (high severity) oleh Mozilla – hampir seperlima dari total kerentanan tingkat tinggi yang diperbaiki sepanjang tahun 2025.
Semua kerentanan ini telah ditambal di Firefox 148, yang dirilis akhir Februari 2026. Sisanya sedang dalam proses perbaikan pada rilis berikutnya. Temuan ini menjadi salah satu contoh paling konkret bagaimana AI kini ikut berperan dalam memperkuat keamanan perangkat lunak open-source berskala besar.
Proses Audit yang Cepat dan Mendalam
Tim Frontier Red Team Anthropic memfokuskan analisis pada JavaScript engine Firefox, salah satu bagian paling kompleks di browser tersebut. Claude diberi akses untuk menelusuri hampir 6.000 file kode C++.
Hasilnya mengesankan: hanya dalam 20 menit pertama, AI sudah menemukan kerentanan jenis use-after-free – celah memori yang berpotensi membiarkan penyerang menyisipkan kode berbahaya. Setelah itu, AI terus menghasilkan ratusan laporan potensi masalah.
Dari 112 laporan yang dikirimkan, Mozilla memvalidasi dan mengeluarkan 22 CVE (Common Vulnerabilities and Exposures). Selain itu, ditemukan pula sekitar 90 bug non-keamanan, seperti kesalahan logika dan assertion failure, yang sebagian besar sudah diperbaiki.
Salah satu kerentanan paling serius adalah CVE-2026-2796 dengan skor CVSS 9.8 (kategori kritis). Bug ini berupa kesalahan kompilasi JIT pada komponen JavaScript WebAssembly.
Pendapat Ahli Mozilla
Insinyur Mozilla terkesan dengan kualitas laporan yang disampaikan. Laporan AI disertai test case minimal yang mudah diverifikasi, sehingga proses triage menjadi jauh lebih cepat dibandingkan laporan bug biasa.
Salah seorang insinyur Mozilla bahkan bereaksi cepat setelah memverifikasi bug pertama: “What else do you have? Send us more.” (Apa lagi yang kamu punya? Kirim lebih banyak!).
Dalam blog resmi Mozilla, tim keamanan menyatakan bahwa pendekatan berbasis AI ini menjadi “tambahan ampuh” di dalam kotak peralatan mereka. Mereka menekankan bahwa AI melengkapi – bukan menggantikan – metode tradisional seperti fuzzing, analisis statis, dan review kode manual.
Kemampuan Membuat Eksploit Masih Terbatas
Anthropic juga menguji seberapa jauh Claude bisa melangkah: dari menemukan bug hingga membuat exploit (kode serangan) yang benar-benar berfungsi.
Hasilnya: dengan biaya sekitar US$4.000 kredit API dan ratusan percobaan, AI hanya berhasil membuat dua exploit kasar. Kedua exploit tersebut hanya berhasil di lingkungan pengujian yang sengaja menghilangkan beberapa lapisan pertahanan Firefox, seperti sandbox.
Peneliti Anthropic menegaskan bahwa di dunia nyata, mekanisme perlindungan Firefox lainnya masih cukup kuat untuk menghentikan serangan semacam itu.
Pandangan Lebih Luas dari Para Ahli
Beberapa ahli keamanan siber melihat sisi positif sekaligus tantangan baru dari temuan ini.
Seorang pakar keamanan open-source mengatakan, “AI membuat proses audit jauh lebih cepat, tapi kita juga harus waspada karena teknologi yang sama bisa dimanfaatkan pihak jahat untuk menemukan celah lebih cepat daripada pembuat perangkat lunak memperbaikinya.”
Sementara itu, tim Mozilla menilai kolaborasi ini sebagai model kerja sama yang baik antara peneliti AI dan maintainer proyek open-source. Mereka berencana melanjutkan pendekatan serupa pada proyek lain di masa depan.
Implikasi bagi Pengguna
Bagi ratusan juta pengguna Firefox di Indonesia dan dunia, hasil ini berarti browser yang lebih aman. Namun, para ahli mengingatkan bahwa kecepatan penemuan kerentanan oleh AI juga meningkatkan risiko serangan di masa mendatang.
Saran praktis untuk pengguna:
- Selalu aktifkan pembaruan otomatis Firefox.
- Pastikan browser Anda sudah versi 148 atau lebih baru.
- Hati-hati saat memasang ekstensi dari sumber tidak resmi.
- Pantau advisori keamanan resmi dari Mozilla secara berkala.
Temuan ini menandai babak baru dalam dunia keamanan siber: AI bukan lagi sekadar alat bantu, melainkan mitra yang mampu menemukan celah di kode yang sudah sangat matang sekalipun. Pertanyaannya sekarang adalah, seberapa cepat industri keamanan dapat mengimbangi laju perkembangan ini.
