Mosaic VPN LogoMosaic VPN
DasborMulai Sekarang
Kembali ke blog
securityvulnerabilitiesAIzero-daypatching

"Dari 44 Hari ke Nol: Bagaimana AI Meremukkan Jendela Zero-Day pada 2026"

Mosaic TeamDipublikasikan: 13 Mei 2026
Ikon gembok di atas latar papan sirkuit, simbol pertahanan terhadap kerentanan zero-day

Bahasa tersedia

ENZHRUESARID

Hampir sepanjang dekade 2010-an, "menambal dalam sebulan" dianggap kebersihan keamanan yang cukup baik. Pada 2026 nasihat itu sudah usang. Menurut laporan M-Trends 2026 dari Mandiant, rata-rata time-to-exploit — jarak antara pengungkapan kerentanan dan eksploitasi aktifnya — runtuh dari lebih dari 700 hari pada 2020 menjadi hanya 44 hari pada 2025. Lebih mencolok lagi: 28,3% CVE kini dieksploitasi dalam 24 jam sejak diumumkan.

Pekan ini, Google Threat Intelligence Group mengungkap bahwa mereka mencegat kelompok peretas yang mencoba menggunakan model AI untuk merancang operasi eksploitasi kerentanan massal, termasuk upaya memakai model frontier guna menemukan 0-day yang menembus autentikasi dua faktor. Menurut Google, kelompok yang terkait Tiongkok dan Korea Utara "menunjukkan minat signifikan dalam memanfaatkan AI untuk penemuan kerentanan."

Bagi pengguna sehari-hari — bukan hanya perusahaan — angka-angka ini menggambar ulang peta. Jendela antara "patch sudah ada" dan "patch harus terpasang di Anda" kini diukur dalam jam, bukan minggu.

Apa yang sebenarnya dikatakan angka-angka ini

Metrik20202025
Rata-rata time-to-exploit700+ hari44 hari
Proporsi CVE dieksploitasi dalam 24 jam<2%28,3%
Eksploitasi datang sebelum patchJarangRutin

Tiga pergeseran tersembunyi di balik tiga baris ini:

  1. Pengembangan eksploit bukan lagi titik macet. Dulu tim kecil yang berpengalaman butuh berminggu-minggu untuk mengubah entri CVE menjadi eksploit yang berfungsi. Analisis kode berbantuan AI memadatkannya menjadi hari, kadang jam.
  2. Asimetri sudah terbalik. Pembela harus menguji, mengeluarkan bertahap, dan menyebarkan patch. Penyerang tidak perlu memvalidasi apa pun — cukup berhasil sekali.
  3. Istilah "zero-day" jadi makin tak akurat. Saat eksploit muncul sebelum patch, pengguna efektif memiliki waktu reaksi negatif.

Bagaimana AI mempercepat penyerang

Mekanismenya tak perlu dibayangkan — pengungkapan Google pekan ini terbaca seperti contoh dari buku teks. Kelompok yang dicegat menggunakan model bahasa besar untuk:

  • Mengurai entri CVE dan patch guna menyimpulkan jalur kode yang rentan
  • Membuat kode PoC eksploit untuk dipoles lebih jauh
  • Merencanakan operasi multitahap termasuk bypass autentikasi dua faktor
  • Memukul dalam skala besar dengan mengotomatisasi pengintaian terhadap ribuan korban potensial

Laporan Mandiant menangkap hasilnya pada level populasi: kelompok yang berkaitan dengan Tiongkok dan Korea Utara adalah pengadopsi awal yang paling aktif dalam penemuan kerentanan dengan AI, sementara aktor Iran dan Rusia menyusul tak jauh di belakang.

AI tidak menciptakan kategori kerentanan baru. Ia hanya memampatkan waktu antara "cacat itu ada" dan "penyerang sudah memakainya melawan Anda" — yang bagi pengguna individu adalah satu-satunya jendela yang penting.

Apa artinya ini bagi pengguna individu

Hampir semua perbincangan tentang angka-angka ini berfokus pada perusahaan. Berikut yang berubah untuk pengguna biasa:

1. "Saya update akhir pekan saja" tidak lagi aman

Saat 28,3% CVE dieksploitasi dalam 24 jam, waktu antara notifikasi muncul dan Anda menekan "Pasang Sekarang" adalah yang menentukan apakah Anda menjadi target. Penundaan satu akhir pekan bukan lagi risiko kecil.

2. Perangkat tua kini lebih berisiko dari sebelumnya

Jika ponsel, router, atau laptop Anda sudah melewati batas dukungan produsen, Anda bukan kehilangan fitur baru — Anda kehilangan patch yang justru jadi sasaran pipa serangan berbantuan AI. Perangkat tanpa pembaruan keamanan adalah risiko aktif jika tetap online.

3. Rantai pasokan lebih penting daripada merek

Kerentanan di satu komponen — pustaka gambar, stack Bluetooth, renderer font — merembet ke setiap aplikasi yang menggunakannya. Alat AI membuat penyerang murah memindai ekosistem perangkat lunak global untuk tahu aplikasi apa membawa versi mana dari pustaka yang rentan. Aplikasi favorit Anda bisa terkena imbas lewat pustaka yang tak pernah Anda dengar.

4. Otentikasi adalah perimeter baru

Operasi yang dicegat Google secara spesifik menyasar bypass autentikasi dua faktor. Inilah garis depan baru: penyerang tahu kata sandi Anda mungkin sudah ada di sebuah korpus bocoran, jadi mereka berinvestasi pada faktor kedua. 2FA yang kuat (kunci perangkat keras, kode berbasis aplikasi) lebih penting di 2026 dibanding kapan pun.

5. Higiene di lapisan jaringan tetap membelikan waktu

Walau eksploit ada, penyerang masih harus mengantarnya. Mengurangi permukaan yang dapat dijangkau dari internet terbuka — lewat DNS terenkripsi, terowongan VPN, dan tidak memaparkan IoT langsung — memberi Anda margin saat patch menyebar.

Lima hal yang bisa Anda lakukan minggu ini

1. Aktifkan pembaruan otomatis di semua tempat

Ponsel, laptop, router, hub rumah pintar. Jangan andalkan ingatan Anda. Siklus patch lebih cepat daripada kebiasaan manusia mana pun untuk memeriksa manual.

  • iOS: Pengaturan → Umum → Pembaruan Perangkat Lunak → Pembaruan Otomatis (semua opsi aktif)
  • Android: Pengaturan → Sistem → Pembaruan Sistem + pembaruan otomatis Play Store
  • macOS: Pengaturan Sistem → Umum → Pembaruan Perangkat Lunak → Pembaruan otomatis
  • Windows: Pengaturan → Windows Update → Opsi lanjutan → Terima pembaruan untuk produk Microsoft lain

2. Pensiunkan perangkat yang sudah tidak menerima pembaruan keamanan

Cek tanggal "akhir dukungan" ponsel Anda. Jika sudah lewat, perangkat itu menjadi liabilitas — bukan untuk dirinya saja, tapi untuk setiap akun yang Anda login dari sana. Alih fungsikan jadi pemutar media, sumbangkan untuk suku cadang, tapi jangan lagi pakai untuk email, perbankan, atau pesan.

3. Tingkatkan faktor kedua Anda

Jika untuk akun penting (perbankan, email, sosial) masih memakai 2FA berbasis SMS, pindahlah ke aplikasi otentikator (Authy, Google Authenticator, 1Password), atau idealnya kunci keamanan perangkat keras (YubiKey, Google Titan). Bypass terhadap aplikasi otentikator dan kunci jauh lebih sulit dibanding terhadap SMS.

4. Pakai pengelola kata sandi — dan biarkan ia yang membuat kata sandi

Jika kata sandi Anda bisa didaur ulang, ia kemungkinan sudah ada di korpus seseorang. Pengelola kata sandi yang membuat kata sandi acak 20+ karakter per layanan berarti bocornya satu situs tak akan berantai.

5. Perketat lapisan jaringan Anda

DNS terenkripsi, VPN andal, dan tidak memaparkan perangkat rumah secara langsung ke internet (tidak ada port forwarding ke NAS kecuali Anda paham betul) memberi margin nyata. Sebagian besar serangan oportunistik mati di hadapan permukaan jaringan yang tertutup.

Bagaimana VPN cocok masuk ke dalam pertahanan

VPN tidak bisa menambal kerentanan yang sudah ada di perangkat Anda. Yang ia bisa lakukan adalah mengurangi jumlah serangan yang sampai padam Anda hingga benar-benar menyentuh kode rentan tersebut.

Konkretnya:

  • Enkripsi AES-256 melindungi lalu lintas Anda di jaringan mana pun — kedai kopi, Wi-Fi hotel, jaringan tamu di mana Anda tidak tahu siapa lagi yang terhubung
  • Tunneling terenkripsi berbeban rendah menjaga proteksi tetap menyala secara default, termasuk untuk streaming dan panggilan real-time, sehingga Anda tidak refleks mematikannya saat performa terasa
  • Proteksi kebocoran DNS menyembunyikan daftar situs dan layanan yang Anda pakai — itulah daftar yang pertama dicari penyerang yang sedang menyusun rantai eksploit personal
  • Kill switch memotong seluruh lalu lintas pada saat terowongan jatuh, sehingga koneksi singkat tidak pernah memaparkan alamat asli atau DNS Anda
  • Jaringan server terdistribusi global memungkinkan Anda memilih titik masuk dan menghindari jaringan yang bermusuhan
  • Pemblokiran terhadap domain berbahaya yang diketahui menangkap sebagian besar infrastruktur pengiriman eksploit oportunistik sebelum perangkat Anda bahkan meminta payload

Tumpuk dengan lima langkah di atas, dan pekerjaan penyerang menjadi nyata lebih sulit — yang, mengingat AI sudah membuatnya jauh lebih murah, justru itulah intinya.

Penutup

Runtuhnya jendela zero-day bukan tren masa depan. Itu sudah terjadi diam-diam antara 2023 dan 2025, dan angka M-Trends 2026 hanya membuatnya resmi: 44 hari. 28,3% dalam 24 jam. Itu bukan statistik perusahaan. Itu garis dasar baru untuk setiap perangkat yang Anda bawa.

Kabar baiknya: tidak ada satu pun pertahanan yang baru. Pembaruan, 2FA yang kuat, higiene kata sandi, lapisan jaringan yang bersih. Yang berubah hanyalah biaya membiarkan salah satunya lengah. Perlakukan keamanan sebagai sesuatu yang Anda kerjakan minggu ini, bukan sesuatu yang akan Anda kerjakan nanti — dan Anda akan baik-baik saja.

Tag

securityvulnerabilitiesAIzero-daypatching