Google meluncurkan dorongan besar terhadap keamanan siber yang didukung AI pada hari Senin, dengan mengumumkan tiga inisiatif baru untuk mengotomatisasi pertahanan digital.
Alat utamanya adalah CodeMender, agen AI baru yang menemukan dan memperbaiki sendiri bug perangkat lunak.
Untuk mendapatkan bantuan dari komunitas keamanan, Google juga memulai program karunia bug AI baru dengan hadiah hingga $30.000. Upaya ini merupakan bagian dari strategi Google dalam menggunakan AI untuk melawan ancaman dunia maya. Perusahaan ini juga merilis Kerangka AI Aman yang diperbarui.
Langkah ini menandakan peningkatan signifikan dalam penggunaan AI untuk tujuan defensif. Hal ini merupakan pengembangan dari karya Google sebelumnya dengan alat seperti Big Sleep, sebuah AI yang baru-baru ini mencegah eksploitasi di dunia nyata.
Strategi yang mendasarinya adalah menciptakan keuntungan yang menentukan bagi para pembela HAM.
CodeMender: Agen AI untuk Pertahanan Otonom
Inti dari pengumuman ini adalah CodeMender, agen otonom yang dirancang untuk menambal kerentanan perangkat lunak.
Didukung oleh model Gemini Deep Think Google yang canggih, agen ini dapat menganalisis kode yang rumit untuk mengidentifikasi dan memperbaiki keamanan kelemahannya.
CodeMender beroperasi secara reaktif, menambal bug baru, dan secara proaktif, dengan menulis ulang kode untuk menghilangkan seluruh kelompok kerentanan.
Prosesnya mencakup analisis akar penyebab yang mendalam dan sistem validasi mandiri yang unik menggunakan agen “kritik” khusus untuk meninjau perbaikan.
Selama pengembangannya, agen telah mengirimkan 72 perbaikan keamanan ke proyek sumber terbuka.
Dalam satu kasus penting, mereka menerapkan anotasi keamanan ke perpustakaan libwebp, perbaikan yang dapat mencegah eksploitasi iOS tanpa klik mulai tahun 2023.
Bug Baru Bounty to Incentivize AI Security Research
Untuk mendukung upaya internalnya, Google meluncurkan AI Vulnerability Reward Program (VRP) khusus.
Program ini bertujuan untuk memberi insentif kepada komunitas riset keamanan global untuk menemukan dan melaporkan kelemahan yang berdampak besar pada produk AI-nya, dengan hadiah tertinggi mencapai $30.000.
VRP baru mengkonsolidasikan dan memperjelas aturan untuk melaporkan masalah terkait AI. Hal ini secara eksplisit mencakup eksploitasi keamanan seperti injeksi cepat dan penyelundupan data.
Namun, hal ini tidak mencakup masalah terkait pembuatan konten berbahaya, yang mana Google mengarahkan pengguna untuk melaporkannya melalui alat masukan dalam produk.
Hal ini meresmikan upaya yang telah membayar peneliti lebih dari $430.000 untuk bug terkait AI. Meskipun program ini merupakan langkah yang disambut baik, beberapa kritikus berpendapat bahwa pembayaran maksimum mungkin terlalu rendah untuk menarik peneliti elit untuk kerentanan AI yang paling kompleks.
Membangun Ekosistem Pertahanan AI yang Proaktif
Komponen ketiga dari pengumuman Google adalah peluncuran Secure AI Framework (SAIF) 2.0.
Versi terbaru ini memberikan panduan baru tentang mengelola risiko yang ditimbulkan oleh semakin banyaknya agen AI yang otonom, yang merupakan kekhawatiran yang semakin besar di seluruh industri.
Inisiatif-inisiatif ini merupakan respons langsung terhadap meningkatnya gelombang serangan siber yang didorong oleh AI. Seperti yang dicatat oleh perusahaan seperti NTT DATA, alat keamanan tradisional kesulitan untuk mengimbanginya.
Sheetal Mehta dari NTT DATA sebelumnya menyatakan bahwa “alat keamanan yang terfragmentasi tidak dapat mengimbangi serangan otomatis saat ini.”
Strategi Google adalah memanfaatkan keberhasilan proyek keamanan AI sebelumnya. Agen Big Sleep miliknya, misalnya, berevolusi dari menemukan bug pertamanya di SQLite pada akhir tahun 2024 hingga secara proaktif menetralisir ancaman kritis sebelum dapat dieksploitasi pada pertengahan tahun 2025.
Melalui kerangka kerja sumber terbuka seperti SAIF dan mengembangkan alat otonom seperti CodeMender, Google bertujuan untuk mengamankan tidak hanya produknya sendiri tetapi juga ekosistem perangkat lunak yang lebih luas.
Pendekatan komprehensif ini menggarisbawahi komitmen jangka panjang perusahaan untuk memberikan keseimbangan keamanan siber demi kepentingan para pembela HAM.