Ledakan Serangan Berbasis Asisten AI

Ledakan Serangan Berbasis Asisten AI – Pada 4 Desember 2025, seorang remaja berusia 17 tahun ditangkap di Osaka, Jepang, atas tuduhan pelanggaran Undang-Undang Pelarangan Akses Tidak Sah.

Pemuda ini berhasil menjalankan kode berbahaya untuk mencuri data pribadi lebih dari 7 juta pengguna Kaikatsu Club, jaringan warnet terbesar di Jepang.

Motivasi di balik peretasan masif tersebut ternyata sangat sederhana, ia ingin membeli kartu Pokémon. Kisah ini mungkin terdengar seperti cerita klasik tentang wunderkind komputer tahun 90-an.

Namun, ada satu perbedaan besar yang sangat mengkhawatirkan, remaja tersebut sama sekali tidak memiliki latar belakang teknis yang mendalam.

Ia adalah bagian dari gelombang baru penjahat siber yang memanfaatkan Generative AI untuk meruntuhkan batasan teknis yang selama ini melindungi dunia digital.

Ledakan Serangan Berbasis Asisten AI

Di tahun 2025, sistem agen dan obrolan berbasis Large Language Model (LLM) telah melintasi ambang batas dari sekadar asisten pengkodean menjadi pusat kekuatan pengembangan perangkat lunak ujung-ke-ujung.

Hal ini berdampak langsung pada frekuensi dan tingkat keparahan kejahatan siber yang meningkat hampir dua kali lipat dalam setahun.

Beberapa insiden menonjol di tahun 2025 menunjukkan tren ini:

1. Kasus Rakuten Mobile.

Tiga remaja (usia 14 hingga 16 tahun) tanpa latar belakang pengkodean menggunakan ChatGPT untuk membuat alat yang menyerang sistem Rakuten Mobile sebanyak 220.000 kali.

Hasilnya digunakan untuk membeli konsol game dan judi daring.

2. Kampanye Claude Code.

Seorang aktor tunggal menggunakan platform Claude Code untuk meluncurkan kampanye pemerasan terhadap 17 organisasi hanya dalam satu bulan.

AI digunakan untuk membuat kode jahat, mengorganisir file curian, hingga menyusun email pemerasan berdasarkan analisis catatan keuangan korban.

3. Pelanggaran Data Meksiko.

Seorang individu menggunakan kombinasi ChatGPT dan Claude Code untuk membobol lebih dari 10 instansi pemerintah Meksiko dan mencuri 195 juta catatan wajib pajak.

Dulu, serangan berskala besar seperti ini hanya bisa dilakukan oleh tim terorganisir. Kini, seorang amatir dapat melakukan serangan dengan tingkat kerumitan teknis yang setara dengan peretas berbakat di era pra-AI.

Kecepatan Eksploitasi Melampaui Kemampuan Manusia

Salah satu ukuran dari kemampuan penyerang saat ini adalah time-to-exploit, waktu yang dibutuhkan sejak kerentanan dipublikasikan hingga eksploitasi ditemukan di lapangan.

Data menunjukkan angka ini turun drastis dari 700 hari di tahun 2020 menjadi hanya 44 hari di tahun 2025. Sebuah kecepatan yang melampui manusia.

Bahkan, laporan 2026 dari para peneliti keamanan menyebutkan bahwa waktu eksploitasi kini secara efektif menjadi negatif.

Artinya, eksploitasi rutin muncul bahkan sebelum tambalan (patch) tersedia, dengan 28,3% dari CVE (Common Vulnerabilities and Exposures) dieksploitasi dalam waktu 24 jam setelah pengungkapan.

Hal ini dimungkinkan karena model AI seperti Gemini dan Claude kini mampu menyelesaikan hampir 81% masalah GitHub di dunia nyata, melonjak dari hanya 33% di tahun sebelumnya.

Kecepatan ini menciptakan tekanan luar biasa bagi tim pertahanan. Rata-rata waktu untuk memperbaiki kerentanan kritis saat ini adalah 74 hari, sementara 45% kerentanan di perusahaan besar sering kali tidak pernah diperbaiki sama sekali.

Kasus Shai-Hulud dan npm

Infrastruktur pengembang juga berada dalam ancaman serius. Di tahun 2025, jumlah paket berbahaya di repositori publik mencapai 454.600, melonjak dari hanya 55.000 di tahun 2022.

Salah satu serangan paling destruktif adalah serangan Shai-Hulud pada September 2025 yang menargetkan ekosistem npm.

Serangan ini mengompromikan lebih dari 500 paket dan menyebabkan kerugian US$8,5 juta bagi pengguna Trust Wallet setelah penyerang meracuni ekstensi Chrome mereka.

Yang membuat serangan ini sulit dideteksi adalah penggunaan kode buatan AI yang menyertakan dokumentasi lengkap dan pengujian unit (unit tests), sehingga tampak seperti modul telemetri yang sah.

Analisis statis dan pemindai tanda tangan (signature scanners) tradisional gagal total dalam mengidentifikasi kode-kode “halus” ini.

Pencegahan dan Strategi Keamanan Baru

Di tengah lingkungan di mana serangan terjadi lebih sering dan lebih parah, organisasi tidak lagi bisa hanya mengandalkan kecepatan untuk menambal celah.

Diperlukan strategi untuk menghapus kategori kerentanan secara keseluruhan. Berikut adalah panduan mitigasi yang disarankan oleh para peneliti:

1. Jangan pernah mengasumsikan paket dari repositori publik aman. Gunakan pustaka yang telah dibangun ulang dari sumber yang terverifikasi dan dapat diatribusikan untuk menghindari serangan dependency confusion atau pengambilan alih CI/CD.
2. Batasi izin akses untuk alat-alat pengkodean AI dan pastikan setiap perubahan kode melalui proses peninjauan manual oleh manusia, terutama untuk bagian yang menangani kredensial dan enkripsi.
3. Uji setiap pustaka baru di lingkungan terisolasi sebelum dimasukkan ke dalam sistem produksi untuk mendeteksi perilaku telemetri palsu atau eksfiltrasi data.
4. Meskipun sulit mengejar kecepatan AI, penggunaan alat otomatisasi berbasis AI untuk membantu tim pertahanan melakukan penambalan dapat memperpendek jendela eksploitasi.
5. Karena pencurian token sesi kini lebih mudah dilakukan oleh amatir, lakukan rotasi kunci API dan token akses sesering mungkin.
6. Berikan pelatihan bahwa email pemerasan atau instruksi teknis kini bisa disusun dengan sangat sempurna oleh AI, sehingga verifikasi melalui saluran kedua tetap menjadi hal wajib.
7. Karena kode jahat kini tampak seperti kode sah, deteksi harus beralih dari pemindaian file statis ke pemantauan perilaku sistem secara real-time untuk mengidentifikasi anomali akses data.

Mengubah Paradigma Pertahanan

Pelajaran berharga dari tahun 2025 adalah bahwa kita tidak bisa lagi berlari lebih cepat dari serangan ini jika hanya mengandalkan cara lama. Batasan antara “niat menyerang” dan “kemampuan menyerang” telah memudar.

Dengan alat yang semakin murah dan aksesibel, seorang amatir di belahan dunia mana pun bisa meluncurkan serangan tingkat tinggi dari kamar mereka.

Strategi cerdas di tahun 2026 adalah dengan membangun fondasi sistem yang secara struktural mustahil untuk ditembus oleh kategori serangan tertentu.

Hanya dengan cara inilah organisasi bisa tetap aman sembari menikmati kemajuan teknologi tanpa harus terjebak dalam kepanikan setiap kali kerentanan baru ditemukan.

Sumber berita:

WeLiveSecurity