- Perangkat AI AISLE mengungkap kerentanan OpenSSL sejak era HTTPS paling awal
- Bahkan kode keamanan yang telah diaudit secara menyeluruh dapat menyembunyikan kelemahan serius selama beberapa dekade
- Kerusakan dan kerusakan memori tetap menjadi mode kegagalan umum dalam perangkat lunak kriptografi
OpenSSL adalah salah satu perpustakaan kriptografi yang paling banyak digunakan saat ini, dan menjadi dasar HTTPS dan komunikasi terenkripsi di Internet.
Meskipun telah dilakukan peninjauan, pengujian, dan pengawasan komunitas selama beberapa dekade, rilis terkoordinasi pada bulan Januari 2026 mengatasi dua belas kerentanan yang sebelumnya tidak diungkapkan.
Masalah-masalah ini berkisar dari kelemahan dengan tingkat keparahan tinggi dan sedang hingga serangkaian masalah dengan tingkat keparahan lebih rendah yang lebih besar yang melibatkan kerusakan, kesalahan penanganan memori, dan kelemahan enkripsi.
Beberapa kelemahan ini masih ada sejak tahun 1998, yang menyoroti keterbatasan peninjauan manusia bahkan dalam proyek yang sangat diawasi.
Perangkat AI AISLE menggunakan deteksi kontekstual untuk menganalisis kode OpenSSL, menetapkan skor prioritas terhadap potensi ancaman, dan mengurangi positif palsu.
Sistem otonom mengidentifikasi dua belas CVE yang diketahui dan juga mendeteksi enam masalah tambahan sebelum diungkapkan kepada publik.
Masalah paling serius, CVE-2025-15467, melibatkan buffer overflow dalam penguraian CMS AuthEnvelopedData, yang dalam kondisi terbatas dapat mengizinkan eksekusi kode jarak jauh.
Cacat terkait namun tidak terlalu parah, CVE-2025-11187, berasal dari hilangnya validasi parameter dalam penanganan PKCS#12 dan menciptakan jalur untuk buffer overflow berbasis tumpukan tanpa jaminan eksploitasi.
Beberapa kerentanan menyebabkan kondisi penolakan layanan melalui crash atau kehabisan sumber daya daripada eksekusi kode langsung.
CVE-2025-15468 memicu error selama penanganan sandi QUIC, CVE-2025-69420 memengaruhi verifikasi Respons TimeStamp, dan CVE-2025-69421 menyebabkan kegagalan selama dekripsi PKCS#12.
Perilaku error serupa muncul di CVE-2026-22795, yang terkait dengan penguraian PKCS#12, dan CVE-2026-22796, yang mengganggu verifikasi tanda tangan PKCS#7 di jalur kode lama.
Kesalahan penanganan memori membentuk kelompok masalah lainnya.
CVE-2025-66199 mengaktifkan kehabisan memori melalui kompresi sertifikat TLS 1.3, yang dapat menurunkan ketersediaan sistem.
CVE-2025-68160 mengungkap kerusakan memori dalam logika buffering baris dan versi yang terpengaruh sejak OpenSSL 1.0.2.
Cacat terpisah, yang dilacak sebagai CVE-2025-69419, melibatkan kerusakan memori yang terkait dengan pengkodean karakter PKCS#12, meskipun tidak semua kerentanan langsung menyebabkan kerusakan atau kesalahan yang terlihat.
CVE-2025-15469 memperkenalkan pemotongan senyap dalam penanganan tanda tangan ML-DSA pasca-kuantum, yang mempertaruhkan kebenaran kriptografi tanpa kesalahan runtime yang jelas.
CVE-2025-69418 memengaruhi mode enkripsi OCB pada jalur yang dipercepat perangkat keras dan dapat melemahkan jaminan enkripsi pada konfigurasi tertentu.
Penemuan-penemuan ini menunjukkan alat AI dapat beroperasi terus menerus, memeriksa semua jalur kode dalam skala besar, dan menghindari batasan terkait waktu, perhatian, atau kompleksitas kode.
Alat analisis statis tradisional sering kali melewatkan kesalahan logika yang kompleks atau kerentanan yang bergantung pada waktu, sementara analisis otonom dapat mengungkap kelemahan yang tidak kentara.
Dengan mengintegrasikan langsung ke dalam alur kerja pengembangan, proses ini menyelesaikan temuan-temuan ini sebelum berdampak pada pengguna akhir dan menunjukkan tingkat cakupan dan kecepatan yang jauh melampaui tinjauan manual.
Bekerja sama dengan pengelola OpenSSL, proses yang dibantu AI juga merekomendasikan perbaikan, dan pengelola mengadopsi beberapa perbaikan secara langsung ke dalam kode OpenSSL.
Hal ini menunjukkan bahwa AI tidak menggantikan keahlian manusia namun justru mempercepat proses deteksi dan remediasi.
Perlindungan titik akhir tindakan dan penghapusan malware strategi dapat mengambil manfaat dari pendekatan serupa yang didorong oleh AI untuk mengidentifikasi ancaman tersembunyi sebelum diterapkan.
Temuan AISLE menunjukkan bahwa AI dapat mengubah keamanan siber dari patching reaktif menjadi perlindungan proaktif.
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
