Google AI Temukan Celah “Use-After-Free” di Chrome: Masa Depan Keamanan Semakin Cerdas
Google kembali menjadi sorotan dunia keamanan siber setelah tim internalnya menemukan sebuah celah kritis di browser Chrome. Menariknya, bug ini tidak ditemukan oleh peneliti manusia, melainkan oleh AI internal Google bernama Google Big Sleep, hasil kolaborasi antara DeepMind dan tim legendaris Google Project Zero.
CVE-2025-9478: Celah di ANGLE
Celah yang terdaftar dengan kode CVE-2025-9478 ini merupakan kerentanan use-after-free pada komponen ANGLE (Almost Native Graphics Layer Engine). ANGLE adalah lapisan grafis yang digunakan Chrome untuk merender grafis 2D dan 3D melalui WebGL, dengan memanfaatkan GPU.
Kerentanan use-after-free terjadi ketika sebuah program mencoba mengakses memori yang sebelumnya sudah dilepaskan (freed). Hal ini dapat menyebabkan data yang salah digunakan, kebocoran informasi, bahkan eksekusi kode berbahaya. Dalam konteks Chrome, bug semacam ini berpotensi dipakai untuk eskalasi serangan melalui tab browser.
Memahami Use-After-Free
Bayangkan sebuah loker di sekolah. Di dalam loker itu Anda simpan buku Matematika. Suatu hari, Anda mengambil buku tersebut dan mengosongkan loker, lalu menyerahkan kunci loker kepada petugas. Seharusnya, jika Anda ingin menggunakan loker lagi, Anda harus mendaftar ulang.
Namun, bayangkan Anda mencoba memasukkan sesuatu ke dalam loker lama tanpa mendaftar ulang. Sementara itu, loker sudah dipinjamkan kepada orang lain yang menyimpan buku Biologi di sana. Akibatnya, ketika Anda mencoba membaca “buku Matematika” dari loker itu, yang Anda temukan adalah buku Biologi. Program pun menjadi bingung, dan bisa salah membaca data atau bahkan rusak (crash).
Inilah gambaran sederhana dari kerentanan use-after-free. Penyerang bisa memanfaatkan kebingungan ini untuk “menipu” program agar menggunakan data yang salah, lalu mengarahkannya untuk melakukan tindakan berbahaya. Eksploitasi jenis ini memerlukan rangkaian langkah yang tepat—mengosongkan loker, mengisinya kembali dengan barang lain, lalu mencoba membukanya lagi—sehingga jauh lebih kompleks daripada bug sederhana seperti null pointer dereference.
AI sebagai Pemburu Bug
Hal yang paling menarik dari temuan ini adalah siapa yang menemukannya. Google Big Sleep, sebuah sistem AI internal, berhasil mengidentifikasi pola kerentanan ini secara otomatis. Selama ini, deteksi use-after-free sangat mengandalkan teknik seperti fuzzing, yang mencoba ribuan hingga jutaan input untuk memicu perilaku tak terduga.
Dengan AI, pendekatan ini menjadi lebih cerdas. Namun, tantangannya masih ada: penelitian sebelumnya mencatat rasio sinyal terhadap kebisingan (signal-to-noise ratio) hanya sekitar 1 banding 50. Artinya, dari 50 laporan bug yang dihasilkan AI, kemungkinan hanya satu yang benar-benar valid. Ini menambah beban triase bagi peneliti keamanan, tetapi tetap mempercepat proses penemuan kerentanan baru.
Masa Depan Keamanan: AI + Manusia
Penemuan CVE-2025-9478 menandai era baru dalam keamanan siber. Kolaborasi manusia dan AI memungkinkan deteksi bug yang semakin kompleks di perangkat lunak dengan basis kode yang sangat besar seperti Chrome. Walau AI belum sempurna, masih sering “berhalusinasi” potensi teknologi ini sangat menjanjikan.
Seiring berkembangnya AI seperti Big Sleep, para peneliti berharap proses identifikasi bug menjadi lebih efisien dan akurat, memperkuat pertahanan dunia maya sebelum celah dimanfaatkan oleh pihak jahat.
