[{"content":"Beberapa bulan belakangan ini, dunia cyber security terutama domain research yang sedang saya jalani (source code analysis) dihebohkan dengan kemunculan service baru dari Claude yaitu Claude Code Security. Service ini diclaim dapat melakukan auto vulnerability discovery dan patching. Hal ini tentunya merupakan sebuah kemajuan besar dari sudut pandang research, karena saat ini task tersebut masih merupakan open research. Claude mengclaim kalau model ini dapat memberikan explainability dan reduce false positive dalam deteksi, sesuatu yang masih menjadi masalah besar dalam domain research ini.\nTidak lama setelah itu, beberapa kanal berita besar dan konten creator youtube mulai mengulas model baru dari claude yaitu Mythos. Model ini diberitakan sangat bombastis dengan headline, Model yang sangat berbahaya bahkan Claude tidak berani untuk merilis secara public. Claude mythos hanya bisa diakses oleh kalangan terbatas, disebutkan hanya untuk perusahaan besar seperti Amazon, Microsoft, JP Morgan bahkan beberapa financial grup besar di Jepang.\nSpekulasi terus bermunculan terkait kebenaran claim dari model ini. Awalnya saya pun sempat merasa terancam, karena kalau disimpulkan Claude Code Security Mythos yang ada saat ini bisa dibilang adalah research goal saya dalam menyelesaikan PhD , hampir hilang harapan.\nSampai akhirnya memutuskan berdiskusi dengan supervisor saya, Alhamdulillah beliau tetap memberikan support dan ada kalimat yang membuat saya tetap semangat.\nSampai saat ini saya tetap skeptis tentang segala sesuatu terkait Artificial Intelligence. Tentu ini adalah hal yang bagus, tapi perlu diingat, pekerjaan yang kamu lakukan tidak bisa dibandingkan dengan industri. Mereka punya unlimited resources baik hardware maupun researcher/engineer. Sementara pekerjaan yang kamu lakukan itu adalah pekerjaan yang dikerjakan oleh lingkup jauh lebih kecil.\nBeberapa rekan di kampus pun saya ajak berdiskusi, secara umum mereka juga tetap skeptis perihal model baru ini karena secara scientific tidak dapat dibuktikan karena akses yang terbatas. Mungkin bisa dikatakan sepertinya hanya Marketing Bullshit.\nBeberapa diskusi juga berlangsung hangat di dunia internet, salah satunya dari IBM mengenai model ini.\nSampai akhirnya pada tanggal 11 Mei 2026, Daniel Steinberg, pembuat curl menulis blog mengenai Claude Mythos.\nBack in April 2026 Anthropic caused a lot of media noise when they concluded that their new AI model Mythos is dangerously good at finding security flaws in source code. Apparently Mythos was so good at this that Anthropic would not release this model to the public yet but instead trickle it out to a selected few companies for a while to allow a few good ones(?) to get a head start and fix the most pressing problems first, before the general populace would get their hands on it. The whole world seemed to lose its marbles. Is this the end of the world as we know it? An amazingly successful marketing stunt for sure.\nDaniel Steinberg\nDaniel secara tidak langsung mendapatkan akses ke Mythos melalui project Glasswing. Project Glasswing merupakan project inisiatif dari Antrophic untuk membuka akses Mythos ke beberapa perusahaan besar dan terkemuka di dunia. Daniel sendiri mendapatkan akses melalui Linux Foundation.\nSebelum melakukan scan code base dengan Mythos, mereka sudah mencoba beberapa tools serupa untuk mencari vulnerability dalam project Curl, salah satunya menggunakan AISLE, Zeropath dan OpenAI\u0026rsquo;s Codex Security. Tools ini berhasil mendeteksi 200 sampai 300 bug dan beberapa vulnerability yang telah terkonfirmasi dan diterbitkan sebagai CVE. Karena temuan ini akhirnya mereka memutuskan untuk menggunakan AI sebelum melakukan review pull request, untuk meminimalisir vulnerability atau bug. Mereka telah mempublish 188 CVE sejauh ini.\nMythos mengkonfirmasi terdapat 5 security vulnerabilities pada project curl, namun ketika direview secara manual oleh tim security internal, hasil yang didapatkan jauh berbeda. Mereka mengharapkan lebih dari 5, karena ekspektasi terhadap model ini sangat tinggi karena claim yang diberikan oleh tim Antrophic sangat luar biasa.\nDari 5 claim, 4 diantaranya adalah false positives yang hanya merupakan bug. Bug tersebut juga sebetulnya sudah ditulis di dokumentasi API sebagai sebuah shortcomings (kekurangan fitur). Hanya 1 yang terkonfirmasi sebagai vulnerability yang ternyata memiliki tingkat kerentanan low severity.\nDaniel menyimpulkan bahwa Mythos tak ubahnya sama dengan model AI yang sudah ada saat ini dari segi kemampuan untuk mendeteksi vulnerability dalam source code. Tapi dia juga menekankan bahwa hal ini dari perspektif pribadi dan tim yang melakukan assessment pada satu source repository yang mereka miliki.\nSecara umum AI tools code analyzer memang masih jauh lebih bagus dari tradisional tools. Tapi perlu diingat AI masih sangat memungkinkan untuk memberikan hasil yang salah.\nWe have not seen any AI so far report a vulnerability that would somehow be of a novel kind or something totally new. They do not reinvent the field in that way, but they do dig up more issues than any other tools did before.\nIn summarize\nπŸ“Œ Important We have not reached the end of this yet.\nReferences https://www.ft.com/content/e96bc361-d222-4190-80fe-e357fa86ef4d?syn-25a6b1a6=1 https://www.reuters.com/technology/japan-megabanks-gain-access-anthropics-mythos-about-two-weeks-source-says-2026-05-13/ https://www.anthropic.com/glasswing https://daniel.haxx.se/blog/2026/05/11/mythos-finds-a-curl-vulnerability/\n","date":"2026-05-18T14:39:15+02:00","permalink":"/post/clause-mythos-hype/","title":"Claude Mythos Hype"},{"content":"Pada tanggal 24 Maret 2026, library Python populer litellm mengalami supply chain attack yang berdampak pada versi 1.82.7 dan 1.82.8. Kejadian ini bermula dari eksploitasi sebelumnya pada security scanner Trivy, yang memungkinkan TeamPCP mengambil alih kredensial maintainer dan mempublikasikan kode berbahaya langsung ke PyPI.\nSummary Jenis Malware: Multi Stages Credential Stealer. Target Data: Environment variables, SSH Keys, Cloud token (AWS/GCP/Azure), dan data Crypto Wallet. Mekanisme: Menggunakan file .pth untuk eksekusi otomatis setiap kali Python dijalankan. Dampak : Didesign untuk menginfeksi Kubernetes environment melalui privileged pods dan menyebarkan persistent backdoor ke semua cluster node. Rekomendasi : Semua pengguna yang menginstall ataupun melakukan update segera melakukan update semua secrets (API keys, SSH, password) dan melakukan audit sistem pada artifact persistent seperti sysmon.py\nAttack Discovery: \u0026ldquo;Fork Bomb\u0026rdquo; Orang pertama yang menemukan serangan ini adalah Callum McMahon, seorang peneliti keamanan di FutureSearch. Ia menemukan malware ini secara tidak sengaja saat melakukan pengujian plugin Cursor MCP. Plugin tersebut menggunakan indirect dependensi litellm yang sudah compromised.\nMenariknya, serangan ini terdeteksi bukan karena scan keamanan, melainkan karena adanya bug pada source code buatan attacker yang membuat mesin developmenya mengalami crashed. Filelitellm_init.pth seharusnya didesign untuk eksekusi secara silent tapi malah selalu melakukan trigger child process .pth berulang-ulang sehingga menciptakan suatu kondisi \u0026ldquo;fork bomb\u0026rdquo; yang secara eksponensial:\nMenghabiskan seluruh RAM sistem dalam sekejap. Membuat komputer menjadi tidak responsif (crash). Setelah malakukan tracking lonjakan penggunaan RAM tersebut, McMahon menemukan payload base64 yang tersembunyi dan melaporkannya melalui GitHub Issue #24512 pada pukul 11:48 UTC, 24 Maret 2026.\nProof of Concept (POC) Meskipun tidak ada satu tautan tunggal ke file POC LiteLLM, secara umum TeamPCP menunjukkan pola berikut:\nVulnerability Pattern Index: Attacker menggunakan bot hackerbot-claw untuk memindai repositori secara otomatis. Code Injection: Code Injection 12 baris kode base64 ditemukan di dalam litellm/proxy/proxy_server.py. Trigger File: Keberadaan file litellm_init.pth yang bertindak trigger berjalan dalam mode silent di background. Affected Parties? Setiap organisasi yang memperbarui litellm ke versi 1.82.7 atau 1.82.8 pada jendela waktu serangan dinyatakan berisiko tinggi.\nDampak pada Perusahaan Besar LiteLLM memiliki sekitar 95 juta download tiap bulan dan digunakan oleh raksasa teknologi. Menurut laporan:\n36% dari seluruh lingkungan cloud global menggunakan LiteLLM. Perusahaan seperti Stripe, Netflix, dan Google ADK tercatat sebagai pengguna. Estimasi 5.000 hingga 10.000 lingkungan SaaS perusahaan terdampak oleh kampanye TeamPCP ini. \u0026ldquo;Blast Radius\u0026rdquo; User tetap bisa terinfeksi meskipun tidak menginstall LiteLLM secara langsung jika CI/CD pipeline yang digunakan atau menggunakan beberapa tools di bawah ini yang melakukan update otomatis.\nCategory Impacted Tools / Frameworks AI Agent \u0026amp; Orchestration CrewAI, DSPy, Opik, Browser-Use, Mem0, Agno, Camel-AI, Guardrails Data \u0026amp; MLOps Projects MLflow, OpenHands, Arize Phoenix, nanobot, CoPaw, langwatch Selain itu infeksi juga memungkinkan jika user melakukan installasi litellm tanpa menyertakan versi.\nUnaffected Pinned Dependencies: User yang menggunakan versi litellm 1.82.6 kebawah. LiteLLM Cloud: Users yang menggunakan official Cloud platform atau official Proxy Docker image (ghcr.io/berriai/litellm), karena versi dependensi yang digunakan spesifik. Standalone Clients: Users yang menggunakan standalone desktop client yang tidak secara dinamis melakukan pull dependencies, seperti the CoPaw Desktop App. Sumber\nhttps://futuresearch.ai/blog/litellm-pypi-supply-chain-attack/ https://futuresearch.ai/blog/no-prompt-injection-required/ https://docs.litellm.ai/blog/security-update-march-2026 https://www.reddit.com/r/LocalLLaMA/comments/1s2c1w4/litellm_1827_and_1828_on_pypi_are_compromised_do/ ","date":"2026-03-26T00:00:00Z","permalink":"/post/litellm-supply-chain-attack/","title":"Litellm Supply Chain Attack"},{"content":"Stop juggling terminal tabs and start using tmux. This command integrates the terminal multiplexer into your daily routine, offering a seamless way to tile windows, script your environment, and maintain session persistence. It’s the essential tool for anyone looking to maximize their screen real estate and command-line mastery\nSessions tmux β€” Start a new session tmux new -s mysession β€” Start a new session with the name mysession tmux ls β€” List all running sessions tmux a β€” Attach to the last session tmux a -t mysession β€” Attach to a specific session by name Ctrl+b d β€” Detach from the current session Ctrl+b s β€” Show all sessions (interactive list) Ctrl+b \\$ β€” Rename the current session tmux kill-session -t mysession β€” Kill/delete a specific session tmux kill-server β€” Kill the tmux server and all sessions Windows (Tabs) Ctrl+b c β€” Create a new window Ctrl+b , β€” Rename the current window Ctrl+b \u0026amp; β€” Close the current window (with confirmation) Ctrl+b n β€” Go to the next window Ctrl+b p β€” Go to the previous window Ctrl+b 0-9 β€” Switch to window by number Ctrl+b w β€” List all windows in the current session Ctrl+b f β€” Find a window by name Panes (Splits) Ctrl+b % β€” Split the current pane vertically (left/right) Ctrl+b \u0026quot; β€” Split the current pane horizontally (top/bottom) Ctrl+b o β€” Cycle through panes Ctrl+b q β€” Show pane numbers (type the number to jump to that pane) Ctrl+b x β€” Kill the current pane Ctrl+b z β€” Toggle pane zoom (maximize/restore) Ctrl+b ! β€” Convert the current pane into a new window Ctrl+b \\{ or \\} β€” Swap the current pane with the previous or next one Ctrl+b Space β€” Toggle between different pane layouts Resizing Panes Ctrl+b : β€” Enter command mode, then type: resize-pane -D β€” Resize down resize-pane -U β€” Resize up resize-pane -L β€” Resize left resize-pane -R β€” Resize right resize-pane -D 10 β€” Resize down by 10 cells Ctrl+b + Arrow Keys (hold Ctrl) β€” Resize pane incrementally Copy Mode (Vi Mode) To enable vi keys, add setw -g mode-keys vi to your .tmux.conf.\nCtrl+b \\[ β€” Enter copy mode q β€” Exit copy mode g β€” Go to the top G β€” Go to the bottom Space β€” Begin selection Enter β€” Copy selection Ctrl+b \\] β€” Paste the most recently copied buffer / β€” Search forward ? β€” Search backward n β€” Next search match Miscellaneous Ctrl+b t β€” Show a large digital clock Ctrl+b ? β€” List all key bindings Ctrl+b : β€” Enter the tmux command prompt :setw synchronize-panes β€” Toggle \u0026ldquo;Sync Panes\u0026rdquo; (send input to all panes in the window) ","date":"2026-03-25T14:25:49+01:00","permalink":"/post/tmux-cheat-sheet/","title":"Tmux Cheatsheet"}]