Dampak “Noise” AI terhadap Program Pelaporan Kerentanan (Vulnerability Disclosure Program)

Pendahuluan

Mengelola laporan kerentanan (vulnerability report) bukanlah hal yang mudah bagi sebuah organisasi. Secara teori, prosesnya terlihat sederhana dan rapi.

Dalam kondisi ideal, alurnya seperti ini:

  1. Seorang peneliti keamanan (researcher) mengirim laporan yang valid

  2. Tim keamanan organisasi menerima dan segera menindaklanjuti

  3. Komunikasi berjalan lancar jika ada pertanyaan

  4. Disepakati rencana perbaikan (remediation)

  5. Masalah diperbaiki dan diverifikasi

  6. Hasilnya diumumkan secara terkoordinasi

Semua pihak senang.

Namun kenyataannya, proses ini sering jauh dari ideal.


Masalah dari Sisi Organisasi

Dari sudut pandang organisasi, banyak tantangan yang muncul, seperti:

1. Laporan “asal-asalan”

Beberapa laporan hanya dibuat untuk mendapatkan reward (bug bounty), meskipun:

  • Tidak relevan

  • Tidak berdampak

  • Bahkan bukan kerentanan serius

2. Laporan dari AI yang tidak akurat

Dengan berkembangnya AI, banyak laporan dibuat otomatis, tetapi:

  • Isinya tidak jelas

  • Mengandung kesalahan (hallucination)

  • Tidak bisa dibuktikan

3. Volume laporan yang terlalu banyak

Sering kali ditemukan ribuan laporan serupa, contohnya:

  • Cross-Site Scripting (XSS)

  • Ditemukan oleh tools otomatis

  • Dikirim satu per satu

Akibatnya:
👉 Tim keamanan (PSIRT) kewalahan

4. Peneliti yang kurang pengalaman

Beberapa peneliti:

  • Terlalu cepat eskalasi masalah

  • Memberi tuntutan yang tidak realistis

  • Tidak memberikan detail lengkap


Masalah dari Sisi Peneliti

Sebaliknya, peneliti juga menghadapi masalah dari organisasi:

1. Laporan diabaikan

Organisasi tidak merespon laporan sama sekali.

2. Proses lambat melalui pihak ketiga

Banyak organisasi menggunakan platform seperti:

  • HackerOne

  • Bugcrowd

Namun:

  • Eskalasi ke organisasi bisa lambat

  • Komunikasi tidak efektif

3. Kurangnya skill dalam triage

Tim internal kadang:

  • Tidak memahami tingkat keparahan

  • Salah memprioritaskan

4. Tidak ada tindak lanjut

Laporan sudah diterima, tetapi:

  • Tidak diperbaiki

  • Tidak ada update

5. Upaya membungkam peneliti

Beberapa organisasi bahkan:

  • Meminta NDA

  • Mengancam secara hukum

Dalam kondisi seperti ini:
👉 Tidak ada pihak yang benar-benar diuntungkan


Masalah Utama: “Noise” dari AI

Salah satu tantangan terbesar saat ini adalah meningkatnya jumlah laporan akibat AI.

Sering muncul klaim:

“AI menemukan lebih banyak kerentanan daripada manusia”

Namun kenyataannya:

  • AI hanya menemukan variasi dari masalah yang sama

  • Contohnya: ribuan XSS dengan payload berbeda

Masalahnya:
👉 Ini tidak meningkatkan keamanan secara signifikan

Kenapa?

Karena:

  • Akar masalahnya tetap satu (misalnya validasi input buruk)

  • Menemukan 1000 variasi tidak menambah nilai

Yang dibutuhkan sebenarnya:
👉 1 laporan berkualitas tinggi


Dampak Buruk bagi Semua Pihak

Jika tidak dikelola dengan baik, dampaknya serius:

Untuk organisasi:

  • Tim kewalahan

  • Kerentanan penting terlewat

Untuk peneliti:

  • Frustrasi karena tidak diperhatikan

Dampak jangka panjang:

  • Kerentanan bisa dipublikasikan sebagai zero-day

  • Dijual ke pihak jahat

  • Reputasi organisasi rusak

Akhirnya:
👉 Semua pihak dirugikan


Solusi yang Bisa Diterapkan

1. Desain program dengan baik

Program pelaporan kerentanan harus:

  • Memiliki scope yang jelas

  • Tidak terlalu sempit

  • Tidak mengecualikan hal penting


2. Kelola laporan AI dengan bijak

Solusi sederhana:

  • Batasi laporan dari AI

  • Atau minta laporan serupa digabungkan

Contoh:
👉 Lebih baik 1 laporan:

“Ada masalah validasi input”

Daripada:

1000 laporan XSS berbeda


3. Fleksibilitas dalam reward

Pertimbangkan:

  • Apakah mau bayar mahal untuk banyak laporan kecil?

  • Atau bayar lebih besar untuk insight penting?

Lebih efektif:
👉 Membayar satu laporan berkualitas tinggi


4. Sediakan jalur eskalasi langsung

Ini penting untuk:

  • Kerentanan kritis

  • Peneliti serius

Solusinya:

  • Izinkan komunikasi langsung ke organisasi

  • Jangan hanya bergantung pada platform bug bounty


5. Gunakan platform sebagai filter, bukan penghalang

Platform bug bounty sebaiknya:

  • Menyaring laporan yang tidak penting

  • Tetapi tetap membuka jalur untuk laporan penting


Kesimpulan

AI memang membantu dalam menemukan kerentanan, tetapi juga membawa masalah baru:
👉 “Noise” atau kebisingan informasi

Jika tidak dikelola:

  • Tim keamanan akan kewalahan

  • Kerentanan penting bisa terlewat

Kunci utamanya adalah:

  • Fokus pada kualitas, bukan kuantitas

  • Memahami akar masalah, bukan hanya gejala

  • Menjaga komunikasi yang sehat antara organisasi dan peneliti


Pesan Penting

Menggunakan platform bug bounty boleh saja, tetapi:

👉 Tanggung jawab keamanan tetap ada di organisasi

Tidak bisa sepenuhnya diserahkan ke pihak ketiga.

Dengan pendekatan yang tepat, program pelaporan kerentanan bisa menjadi:

  • Alat kolaborasi

  • Cara meningkatkan keamanan

  • Bukan sekadar formalitas


Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan pentest indonesia, merupakan bagian dari PT. iLogo Indonesia, yang merupakan mitra terpercaya dalam solusi Infrastruktur IT dan Cybersecurity terbaik di Indonesia.
Hubungi kami sekarang atau kunjungi pentestindonesia.com untuk informasi lebih lanjut!