Tak Biasa, Peneliti Pakai Model AI o3 OpenAI untuk Temukan Celah Keamanan di Linux

KOMPAS.com - Seorang peneliti keamanan siber bernama Sean Heelan, menemukan celah keamanan kritis (zero-day) di sistem operasi Linux, belum lama ini.

Uniknya, ia tidak menggunakan alat-alat canggih yang biasa dipakai para peretas atau pakar keamanan, melainkan memanfaatkan kecerdasan buatan (AI) dari OpenAI, yakni model o3.

Model AI yang pertama kali diumumkan pada Desember 2024 ini punya kemampuan bernalar (reasoning) dan menjawab persoalan matematika atau sains kompleks.

Penemuan ini jadi sorotan karena model AI o3 berhasil membantu menemukan celah keamanan yang belum pernah diketahui sebelumnya, atau yang dikenal dengan istilah "zero-day vulnerability".

Baca juga: OpenAI Akuisisi Startup Bikinan Perancang iPhone Rp 106 Triliun

Kerentanan zero-day adalah jenis celah keamanan yang belum diketahui oleh pembuat perangkat lunak, sehingga belum ada perbaikannya.

Artinya, jika sampai ditemukan lebih dulu oleh peretas, celah ini bisa langsung disalahgunakan sebelum sempat diperbaiki. Itulah mengapa disebut "zero-day" atau "nol hari", karena pihak pembuat software tidak punya waktu (zero days) untuk mencegah eksploitasi tersebut.

LinkedIn/ Rahul Chaube Model AI o3 dari OpenAI.

Menemukan kerentanan baru di Linux sebenarnya bukanlah tujuan utama.

Awalnya, Sean Heelan hanya ingin menguji seberapa pintar API OpenAI o3 dalam menganalisis kode program yang sudah diketahui punya celah keamanan (CVE-2025-37778).

Kerentanan CVE-2025-37778 ini ada di bagian sistem Linux yang mengurus proses login pengguna, tepatnya di bagian yang disebut Kerberos (sistem untuk memastikan apakah seseorang boleh masuk ke komputer atau jaringan).

Baca juga: OpenAI Rilis Codex, Agen AI yang Bisa Bantu Coding

Masalah tersebut termasuk jenis "use-after-free", yaitu kondisi berbahaya di mana komputer mencoba menggunakan data yang sebenarnya sudah dibuang. Itu bisa menyebabkan program rusak, atau bahkan memberi jalan bagi peretas untuk masuk ke sistem.

Heelan pun mengambil cuplikan kode dari salah satu bagian Linux yang dipakai untuk berbagi file lewat jaringan (disebut "ksmbd") dan memberikan potongan kode itu ke AI o3.

Kemudian, Heelan meminta AI tersebut untuk membantu mengaudit logika program. Model o3 pun disebut mampu memahami interaksi kompleks antara thread dan bagaimana obyek dibagikan di antara mereka, serta mengidentifikasi pola berisiko yang mengarah pada kerentanan.

Hasilnya, tanpa diberi tahu bahwa itu adalah kode yang punya masalah, AI o3 ternyata bisa menjelaskan bahwa ada bagian dari kode tersebut yang berpotensi menimbulkan kesalahan serius.

AI menunjukkan bahwa ada bagian dari program yang bisa membuat sistem Linux crash atau bahkan diretas dari jarak jauh.

Tak sampai di situ, saat menganalisis kode tersebut, model OpenAI o3 juga malah menemukan celah baru yang belum pernah dilaporkan siapa pun sebelumnya. Celah ini kemudian diberi kode CVE-2025-37899.

Baca juga: OpenAI Rilis GPT 4.1 dan 4.1 Mini, Bikin ChatGPT Makin Pintar Ngoding

Celah CVE-2025-37899 memungkinkan peretas untuk masuk dan menjalankan perintah di dalam sistem Linux tanpa izin, cukup lewat jaringan, tanpa harus menyentuh komputer target.

Karena celah ini ada di Linux, potensi bahayanya sangat besar. Ini mengingat sistem operasi open-source ini digunakan di jutaan server dan komputer di seluruh dunia (termasuk layanan internet, perusahaan, dan bahkan pemerintahan).

Celah ditambal

Setelah mengonfirmasi temuan tersebut, Heelan melaporkan kerentanan CVE-2025-37899 ke pihak yang mengelola sistem Linux. Kini, celah CVE-2025-37899 sudah ditambal atau diperbaiki dalam pembaruan sistem terbaru.

Sebagaimana dihimpun KompasTekno dari Beebom, Jumat (30/5/2025), penemuan ini menandai pertama kalinya sebuah model AI berhasil menemukan kerentanan zero-day dalam sistem operasi utama seperti Linux, yang digunakan di jutaan server dan perangkat di seluruh dunia.

Dengan kemampuan model AI seperti o3, masa depan keamanan siber dapat melihat peningkatan signifikan dalam efisiensi dan efektivitas dalam mendeteksi dan memperbaiki kerentanan sebelum dieksploitasi oleh pihak yang tidak bertanggung jawab.