AI di Tangan Peretas: Bisa Berpikir, Meniru Suara dan Wajah

Lukatsky memaparkan wawasannya mengenai "Generative AI in Cybersecurity: Transforming Defense Strategies and Navigating Risks",

Peringatan ini terdengar sangat nyata di Indonesia. Lukatsky memaparkan bagaimana riset perusahaannya menempatkan Indonesia sebagai target utama di Asia Tenggara. Lembaga pemerintah, yang menjadi sasaran 29 persen serangan, terus-menerus digempur. Dan senjata utamanya, yang ditemukan di 55 persen insiden, adalah malware—seringkali disebar melalui email tipuan (phishing) dan social engineering.

Di sinilah, menurut Lukatsky, AI mengubah segalanya. Ia menyebut bahwa penggunaan AI dalam kampanye phishing telah melonjak dari hanya 5-10 persen menjadi 89 persen secara global.

"Lupakan email phishing dengan tata bahasa yang kaku dan salah ketik," katanya. "AI generatif kini bisa membuat email phishing yang sempurna dalam bahasa Indonesia, meniru gaya bahasa atasanmu, merujuk pada proyek yang sedang kamu kerjakan, dan membuatnya sangat personal serta meyakinkan."

Mabes Polri ungkap kasus video deepfake Presiden Prabowo dan Menkeu Sri Mulyani (IDN Times/Irfan Fathurohman)

Lebih jauh, AI tidak hanya menulis email. Ia kini menulis kode malware yang sangat canggih, yang dirancang khusus untuk mengelabui sistem antivirus tradisional.

Namun, ancaman yang paling membuat audiens bergidik adalah deepfake. Lukatsky menyebutnya sebagai ancaman terpopuler kedua setelah phishing. Ini bukan lagi sekadar aplikasi ganti wajah yang lucu.

"Di darknet, layanan ini diperjualbelikan untuk pemerasan," ungkapnya. Bayangkan, wajah kerabat, atasan, atau bahkan kamu sendiri, ditempelkan ke konten pornografi. Lukatsky juga mencontohkan kasus nyata peretas Korea Utara yang menggunakan deepfake untuk menyamar dalam wawancara kerja, agar bisa direkrut dan mencuri rahasia perusahaan dari dalam.

Untuk membuktikan betapa mudahnya ancaman ini, Lukatsky melakukan demo langsung. Hanya dalam lima menit, di laptopnya, ia menunjukkan bagaimana wajahnya sendiri bisa tampil meyakinkan sebagai Presiden Trump dan Presiden Putin. "Ini bisa dilakukan siapa saja," tegasnya, menyoroti demokratisasi alat kejahatan siber.

Lukatsky memperingatkan bahwa dalam waktu dekat, dimungkinkan untuk menciptakan kembaran digital (digital twin) yang akurat dari seseorang, termasuk pola perilaku dan suara, hanya dengan dua jam percakapan dengan AI.

Ilustrasi verifikasi penerima bansos di Magetan. IDN Times/Riyanto.

Kecanggihan AI juga meruntuhkan pilar keamanan yang selama ini kita andalkan. Sistem verifikasi identitas Know Your Customer (KYC) di bank dan fintech kini ditantang. AI bisa menghasilkan gambar KTP atau paspor palsu yang terlihat asli.

AI bahkan bisa membuat video palsu seseorang yang bergerak dan berbicara untuk mengelabui verifikasi wajah. Kloning suara (voice cloning) digunakan untuk menipu keluarga, dan pemalsuan sidik jari sudah bukan lagi cerita di film fiksi ilmiah.

Bahkan, kotak centang "Saya bukan robot" (CAPTCHA) yang sering kita temui, menurut Lukatsky, sudah mati. "AI modern dapat melewatinya secara otomatis dalam dua hingga tiga detik," ujarnya.

Lukatsky memaparkan wawasannya mengenai "Generative AI in Cybersecurity: Transforming Defense Strategies and Navigating Risks",

Lalu, bagaimana kita bisa selamat di era baru ini? Lukatsky menunjukkan bahwa saat ini terdapat persaingan antara peretas dan tim keamanan siber dalam memanfaatkan AI. Tim siber harus menggunakan AI untuk pentesting otonom dan mengembangkan solusi yang menunjukkan hasil yang lebih baik ketika model AI dilatih dengan data siber keamanan sendiri. Lawan AI dengan AI.

Jika peretas menggunakan AI untuk menyerang, maka pertahanan pun harus menggunakan AI. Ia memaparkan konsep SOC (Security Operation Center) Otonom—pusat operasi keamanan siber yang dijalankan oleh AI, berburu anomali dan ancaman 24 jam sehari, 7 hari seminggu tanpa perlu tidur. Tim siber harus menggunakan AI untuk pentesting otonom dan mengembangkan solusi yang menunjukkan hasil yang lebih baik ketika model AI dilatih dengan data siber keamanan sendiri

Namun, ia juga memberi peringatan: jangan gegabah. Peretas, katanya, sudah mulai "meracuni" dataset publik yang dipakai untuk melatih AI, menyisipkan backdoor di dalam model yang kita unduh.

Pengembangan sumber daya manusia harus menjadi prioritas utama. Program pendidikan nasional harus mencakup inisiatif untuk meningkatkan kebersihan digital dan membangun keterampilan keselamatan online dasar di antara semua pengguna. Tim keamanan siber ideal harus terdiri dari kombinasi ahli keamanan siber dan ahli Machine Learning (ML).

Di akhir kuliahnya, Alexey Lukatsky memberikan satu nasihat paling praktis bagi setiap individu di ruangan itu. "Perlakukan layanan GPT publik seperti ChatGPT layaknya kamu berbicara dengan orang asing di tempat umum," katanya. "Jangan pernah mengirimkan informasi rahasia, data perusahaan, atau rahasia pribadimu ke sana."

"Untuk data sensitif," pungkasnya sambil menunjuk laptopnya, "Saya pribadi menggunakan model AI lokal yang berjalan sepenuhnya di mesin saya. Di era ini, paranoia adalah langkah awal dari keamanan."