Beberapa bulan belakangan ini, dunia cyber security terutama domain research yang sedang saya jalani (source code analysis) dihebohkan dengan kemunculan service baru dari Claude yaitu Claude Code Security. Service ini diclaim dapat melakukan auto vulnerability discovery dan patching. Hal ini tentunya merupakan sebuah kemajuan besar dari sudut pandang research, karena saat ini task tersebut masih merupakan open research. Claude mengclaim kalau model ini dapat memberikan explainability dan reduce false positive dalam deteksi, sesuatu yang masih menjadi masalah besar dalam domain research ini.
Tidak lama setelah itu, beberapa kanal berita besar dan konten creator youtube mulai mengulas model baru dari claude yaitu Mythos. Model ini diberitakan sangat bombastis dengan headline, Model yang sangat berbahaya bahkan Claude tidak berani untuk merilis secara public. Claude mythos hanya bisa diakses oleh kalangan terbatas, disebutkan hanya untuk perusahaan besar seperti Amazon, Microsoft, JP Morgan bahkan beberapa financial grup besar di Jepang.
Spekulasi terus bermunculan terkait kebenaran claim dari model ini. Awalnya saya pun sempat merasa terancam, karena kalau disimpulkan Claude Code Security Mythos yang ada saat ini bisa dibilang adalah research goal saya dalam menyelesaikan PhD , hampir hilang harapan.
Sampai akhirnya memutuskan berdiskusi dengan supervisor saya, Alhamdulillah beliau tetap memberikan support dan ada kalimat yang membuat saya tetap semangat.
Sampai saat ini saya tetap skeptis tentang segala sesuatu terkait Artificial Intelligence. Tentu ini adalah hal yang bagus, tapi perlu diingat, pekerjaan yang kamu lakukan tidak bisa dibandingkan dengan industri. Mereka punya unlimited resources baik hardware maupun researcher/engineer. Sementara pekerjaan yang kamu lakukan itu adalah pekerjaan yang dikerjakan oleh lingkup jauh lebih kecil.
Beberapa rekan di kampus pun saya ajak berdiskusi, secara umum mereka juga tetap skeptis perihal model baru ini karena secara scientific tidak dapat dibuktikan karena akses yang terbatas. Mungkin bisa dikatakan sepertinya hanya Marketing Bullshit.
Beberapa diskusi juga berlangsung hangat di dunia internet, salah satunya dari IBM mengenai model ini.
Sampai akhirnya pada tanggal 11 Mei 2026, Daniel Steinberg, pembuat curl menulis blog mengenai Claude Mythos.
Back in April 2026 Anthropic caused a lot of media noise when they concluded that their new AI model Mythos is dangerously good at finding security flaws in source code. Apparently Mythos was so good at this that Anthropic would not release this model to the public yet but instead trickle it out to a selected few companies for a while to allow a few good ones(?) to get a head start and fix the most pressing problems first, before the general populace would get their hands on it. The whole world seemed to lose its marbles. Is this the end of the world as we know it? An amazingly successful marketing stunt for sure.
Daniel Steinberg
Daniel secara tidak langsung mendapatkan akses ke Mythos melalui project Glasswing. Project Glasswing merupakan project inisiatif dari Antrophic untuk membuka akses Mythos ke beberapa perusahaan besar dan terkemuka di dunia. Daniel sendiri mendapatkan akses melalui Linux Foundation.
Sebelum melakukan scan code base dengan Mythos, mereka sudah mencoba beberapa tools serupa untuk mencari vulnerability dalam project Curl, salah satunya menggunakan AISLE, Zeropath dan OpenAI’s Codex Security. Tools ini berhasil mendeteksi 200 sampai 300 bug dan beberapa vulnerability yang telah terkonfirmasi dan diterbitkan sebagai CVE. Karena temuan ini akhirnya mereka memutuskan untuk menggunakan AI sebelum melakukan review pull request, untuk meminimalisir vulnerability atau bug. Mereka telah mempublish 188 CVE sejauh ini.
Mythos mengkonfirmasi terdapat 5 security vulnerabilities pada project curl, namun ketika direview secara manual oleh tim security internal, hasil yang didapatkan jauh berbeda. Mereka mengharapkan lebih dari 5, karena ekspektasi terhadap model ini sangat tinggi karena claim yang diberikan oleh tim Antrophic sangat luar biasa.
Dari 5 claim, 4 diantaranya adalah false positives yang hanya merupakan bug. Bug tersebut juga sebetulnya sudah ditulis di dokumentasi API sebagai sebuah shortcomings (kekurangan fitur). Hanya 1 yang terkonfirmasi sebagai vulnerability yang ternyata memiliki tingkat kerentanan low severity.
Daniel menyimpulkan bahwa Mythos tak ubahnya sama dengan model AI yang sudah ada saat ini dari segi kemampuan untuk mendeteksi vulnerability dalam source code. Tapi dia juga menekankan bahwa hal ini dari perspektif pribadi dan tim yang melakukan assessment pada satu source repository yang mereka miliki.
Secara umum AI tools code analyzer memang masih jauh lebih bagus dari tradisional tools. Tapi perlu diingat AI masih sangat memungkinkan untuk memberikan hasil yang salah.
We have not seen any AI so far report a vulnerability that would somehow be of a novel kind or something totally new. They do not reinvent the field in that way, but they do dig up more issues than any other tools did before.
In summarize
ImportantWe have not reached the end of this yet.
References
https://www.ft.com/content/e96bc361-d222-4190-80fe-e357fa86ef4d?syn-25a6b1a6=1 https://www.reuters.com/technology/japan-megabanks-gain-access-anthropics-mythos-about-two-weeks-source-says-2026-05-13/ https://www.anthropic.com/glasswing https://daniel.haxx.se/blog/2026/05/11/mythos-finds-a-curl-vulnerability/