Havedev Logo
← Back to Blog

Havedev

Melarang Model AI Kuat Tidak Otomatis Membuat Internet Lebih Aman

Melarang Model AI Kuat Tidak Otomatis Membuat Internet Lebih Aman

The Core Update

Sekelompok puluhan pakar cybersecurity meminta pemerintah Amerika Serikat mencabut pembatasan ekspor terhadap dua model AI paling kuat dari Anthropic, Fable dan Mythos.

Menurut surat terbuka mereka, keputusan itu justru mengambil kemampuan terbaik dari para defender. Tim keamanan yang sebelumnya bisa memakai model kuat untuk mencari kerentanan, memperbaiki bug, dan menguji patch kini kehilangan akses.

Argumen mereka sederhana: ketika penyerang terus berkembang, membatasi alat terbaik dari pihak yang bertahan tanpa alasan yang jelas bisa menjadi keputusan yang berbahaya.

Pemerintah AS sebelumnya memerintahkan Anthropic membatasi ekspor Fable dan Mythos dengan alasan keamanan nasional. Namun alasan teknis spesifik di balik perintah itu tidak dijelaskan secara terbuka. Anthropic kemudian menangguhkan akses ke model tersebut untuk pengguna di seluruh dunia.

Surat terbuka ini ditandatangani oleh banyak nama besar di dunia keamanan, termasuk mantan pemimpin keamanan Facebook, pendiri Bugcrowd, cryptographer senior, peneliti keamanan, dan praktisi yang lama bekerja di bug bounty, security awareness, serta applied security.

Di sisi lain, kekhawatiran pemerintah bukan muncul dari ruang kosong. Anthropic sendiri sebelumnya menyebut Mythos sangat kuat untuk menemukan vulnerability, sehingga aksesnya perlu dibatasi agar tidak disalahgunakan oleh malicious hacker atau aktor negara.

Masalahnya, batas antara penggunaan defensif dan ofensif di cybersecurity memang tidak selalu rapi.

Kemampuan untuk menemukan bug bisa dipakai untuk memperbaiki sistem. Kemampuan yang sama juga bisa dipakai untuk menyerang sistem. Karena itu, pertanyaannya bukan sekadar apakah model ini berbahaya atau tidak.

Pertanyaannya adalah: siapa yang boleh memakai, untuk konteks apa, dengan kontrol seperti apa, dan bagaimana keputusan pembatasannya diaudit.

The Reality Check

Ada kecenderungan umum dalam diskusi AI security: ketika sebuah model terlihat terlalu kuat, respons pertama adalah membatasi akses.

Secara naluriah, ini masuk akal. Model yang bisa membantu menemukan celah keamanan memang bisa memperbesar risiko jika jatuh ke tangan yang salah.

Tetapi masalahnya, cybersecurity bukan bidang yang bisa dipisahkan dengan mudah antara perintah baik dan perintah buruk.

Seorang defender perlu bertanya:

  • apakah kode ini punya bug keamanan?
  • bagaimana cara memperbaikinya?
  • kenapa patch ini penting?
  • test apa yang bisa memastikan bug tidak muncul lagi?
  • bagian mana dari dependency ini berisiko?

Pertanyaan seperti ini terdengar sangat mirip dengan hal yang juga bisa ditanyakan oleh penyerang. Bedanya ada pada konteks, izin, sistem yang diuji, dan tujuan akhirnya.

Di sinilah guardrail yang terlalu kasar bisa menjadi masalah.

Jika model menolak hampir semua prompt yang berhubungan dengan cybersecurity, maka ia memang terlihat lebih aman di permukaan. Tetapi untuk tim keamanan yang sah, model itu menjadi jauh kurang berguna.

Katie Moussouris, salah satu penandatangan surat terbuka, mengkritik dasar kekhawatiran yang disebut terkait paper dari peneliti Amazon. Menurut penjelasannya, paper tersebut tidak benar-benar menunjukkan jailbreak yang membuka kemampuan berbahaya secara baru. Yang terjadi adalah model diminta memperbaiki kode open source dengan vulnerability yang sudah diketahui dan bug yang sengaja ditanam.

Dengan kata lain, model diminta melakukan pekerjaan defensif yang sangat normal: menemukan, memperbaiki, menjelaskan, dan menguji.

Ini penting karena banyak bisnis sering salah memahami keamanan digital. Mereka mengira keamanan berarti melarang semua kemampuan yang terdengar sensitif. Padahal dalam praktiknya, keamanan yang baik justru membutuhkan kemampuan untuk melihat masalah lebih cepat.

Bug tidak hilang karena tim dilarang bertanya tentang bug. Vulnerability tidak menjadi lebih aman karena model menolak membahas vulnerability. Risiko tidak turun hanya karena dashboard terlihat bersih dari kata-kata sensitif.

Risiko turun ketika defender punya proses yang jelas untuk menemukan masalah, memvalidasi dampaknya, memperbaikinya, dan memastikan patch bekerja.

Pembatasan AI bisa diperlukan. Tetapi pembatasan yang tidak transparan dapat menciptakan efek samping.

Pertama, defender yang legal kehilangan alat yang membantu mempercepat kerja mereka.

Kedua, organisasi kecil yang tidak punya tim security besar semakin tertinggal karena akses ke kemampuan advanced makin terbatas.

Ketiga, model lain yang tidak punya guardrail seketat itu tetap bisa dipakai, termasuk model dari provider lain atau model luar negeri. Jika kemampuan serupa tersedia di tempat lain, larangan terhadap satu model belum tentu mengurangi risiko secara nyata.

Keempat, keputusan yang tidak dijelaskan membuat industri sulit belajar. Jika ada risiko teknis yang benar-benar serius, komunitas keamanan perlu memahami kategorinya agar bisa membangun mitigasi yang lebih baik.

Tanpa transparansi, kebijakan berubah menjadi sinyal panik. Dan sinyal panik jarang menghasilkan sistem yang matang.

The Havedev Way

Dari sudut pandang Havedev, pelajaran besarnya bukan hanya tentang Anthropic, Fable, Mythos, atau pemerintah Amerika Serikat.

Pelajaran besarnya adalah ini: teknologi kuat tidak cukup diatur dengan tombol on dan off.

Dalam bisnis, pola yang sama sering terjadi. Ketika ada fitur yang terasa berisiko, responsnya sering langsung ekstrem. Semua akses ditutup. Semua automation dimatikan. Semua integrasi dibatasi. Semua orang harus kembali manual.

Kadang itu perlu untuk kondisi darurat.

Tetapi sebagai strategi jangka panjang, pendekatan seperti ini sering menciptakan masalah baru. Tim menjadi lambat, pekerjaan defensif tertunda, dan risiko justru pindah ke tempat yang tidak terlihat.

Untuk AI dan cybersecurity, pendekatan yang lebih sehat biasanya bukan sekadar melarang kemampuan, tetapi mengatur konteks penggunaannya.

Beberapa pertanyaan yang lebih berguna:

  • siapa yang boleh memakai model untuk analisis keamanan?
  • apakah sistem yang diuji memang milik organisasi sendiri?
  • apakah ada audit log untuk prompt dan hasil penting?
  • apakah output model harus melalui review manusia?
  • apakah model boleh menulis exploit atau hanya patch dan test?
  • apakah ada proses escalation ketika model menemukan risiko serius?

Pertanyaan ini lebih sulit daripada sekadar memblokir semua prompt security. Tetapi justru di situlah tata kelola yang matang dibangun.

Untuk bisnis yang mulai memakai AI dalam software development, pesan praktisnya jelas: jangan memakai AI security tanpa aturan, tetapi jangan juga mematikan kemampuan security hanya karena terlihat sensitif.

Mulai dari use case defensif yang jelas.

Misalnya:

  • review kode internal untuk bug umum
  • membuat test untuk validasi patch
  • menjelaskan dependency yang perlu diperbarui
  • membantu membaca log error dan indikasi anomali
  • membuat checklist hardening untuk deployment
  • merapikan dokumentasi incident response

Setiap use case perlu batas. Model boleh membantu menemukan dan memperbaiki. Tetapi keputusan tetap perlu konteks engineer, ownership sistem, dan review yang jelas.

AI yang kuat memang bisa mempercepat pekerjaan security. Namun nilai sebenarnya baru muncul ketika bisnis punya proses untuk memakainya dengan aman.

Bukan hanya model apa yang dipakai.

Tetapi siapa yang memakai, untuk pekerjaan apa, dengan data apa, hasilnya dicek oleh siapa, dan bagaimana tindakan lanjutnya dicatat.

Di level kebijakan publik, industri membutuhkan regulasi yang transparan, proporsional, dan berbasis riset. Di level bisnis, tim membutuhkan SOP yang jelas, bukan sekadar rasa takut terhadap fitur baru.

Keamanan bukan berarti semua kemampuan dibatasi sampai tidak berguna. Keamanan berarti kemampuan yang kuat ditempatkan dalam alur kerja yang bisa dipercaya.

Jika AI bisa membantu defender menemukan, memperbaiki, dan menguji bug lebih cepat, maka pertanyaan utamanya bukan apakah kemampuan itu harus ada atau tidak.

Pertanyaannya adalah bagaimana membuat kemampuan itu tetap berada di tangan yang tepat, dengan kontrol yang cukup, tanpa melemahkan orang-orang yang bertugas menjaga sistem tetap aman.

Dapatkan Audit Teknis Gratis untuk meninjau bagaimana website, aplikasi, dan workflow digital bisnis Anda bisa mulai memakai AI secara lebih aman, terukur, dan tetap berguna untuk pekerjaan nyata.

Sumber referensi berita: TechCrunch

Continue Reading

All Articles Category: Ai