Claude Mythos vs OJK: Regulasi Salah Sasaran di Era AI

Bayangkan Anda mengunci pintu depan rumah dengan gembok terkuat di pasaran, sementara jendela belakang dibiarkan terbuka lebar. Itulah gambaran paling jujur dari situasi regulasi keamanan siber perbankan Indonesia saat ini—bukan karena OJK tidak bergerak, melainkan karena arah gerakannya belum sepenuhnya menyentuh sumber risiko yang sesungguhnya.

Kemunculan model AI terbaru dari Anthropic, Claude Mythos, telah memicu respons regulasi yang luar biasa cepat di tingkat global. Dari Bank of England hingga Monetary Authority of Singapore, dari Federal Reserve hingga Bank Sentral India—semua bergerak dalam hitungan hari. OJK pun tidak tinggal diam. Namun pertanyaan yang lebih penting bukan apakah regulator bergerak, melainkan ke mana mereka bergerak.

Apa Itu Claude Mythos dan Mengapa Regulator Global Panik?

Anthropic meluncurkan Mythos pada 7 April 2026 melalui program akses terbatas bernama Project Glasswing. Model ini tidak dirilis ke publik—dan alasannya bukan soal kesiapan pasar, melainkan soal keamanan. Anthropic sendiri mengakui bahwa Mythos mampu mendeteksi bug halus, memperbaiki kesalahan secara mandiri, serta mengidentifikasi dan mengeksploitasi zero-day vulnerabilities pada setiap sistem operasi dan browser utama yang diuji.

Kemampuan ini bukan sekadar peningkatan inkremental dari model AI sebelumnya. Ini adalah lompatan kualitatif. Mythos dapat melakukan autonomous fuzzing—proses pengujian sistem secara mandiri untuk menemukan celah keamanan—tanpa intervensi manusia. Dalam konteks perbankan, ini berarti celah pada input validation, authentication bypass (yang masuk dalam OWASP Top 10), hingga kerentanan di level kernel sistem operasi server perbankan, semuanya berpotensi ditemukan dan dieksploitasi secara otomatis.

Tidak mengherankan jika Gubernur Bank of England Andrew Bailey memperingatkan bahwa Mythos bisa “crack the whole cyber risk world open”. Bank-bank besar AS seperti JPMorgan, Morgan Stanley, dan Citigroup memang sudah mendapatkan akses terbatas ke model ini—namun justru untuk keperluan defensif, bukan ofensif.

OJK Sudah Bergerak, Tapi ke Arah Mana?

Kepala Eksekutif Pengawas Perbankan OJK, Dian Ediana Rae, menyatakan bahwa pihaknya telah mengikuti perkembangan isu Claude Mythos dan menyadari potensi risikonya terhadap infrastruktur kritis, termasuk perbankan. Sebagai respons, OJK merujuk pada dua instrumen utama:

1. Tata Kelola Kecerdasan Artifisial Perbankan Indonesia – panduan bagi bank dalam mengembangkan dan menerapkan AI secara bertanggung jawab.
2. POJK Nomor 11 Tahun 2022 – regulasi yang mewajibkan manajemen risiko teknologi dan informasi yang efektif, mencakup identifikasi ancaman proaktif, manajemen kerentanan, dan pengelolaan pihak ketiga.

Langkah ini patut diapresiasi. OJK tidak berdiam diri, dan kerangka regulasi yang ada memang menyentuh aspek pengelolaan pihak ketiga. Namun ada jarak yang signifikan antara menyebut pengelolaan pihak ketiga dalam regulasi dan benar-benar mengaudit infrastruktur cloud global yang menjadi tulang punggung operasional perbankan Indonesia.

Titik Kegagalan yang Diabaikan: Cloud Provider sebagai Single Point of Failure

Di sinilah argumen terpenting perlu diajukan secara tegas: ancaman terbesar bagi sistem perbankan Indonesia bukan berada di dalam tembok bank itu sendiri.

Sektor perbankan global—termasuk Indonesia—sangat bergantung pada sejumlah kecil penyedia layanan cloud: AWS, Microsoft Azure, dan Google Cloud Platform (GCP). Konsentrasi ketergantungan ini menciptakan risiko sistemik yang unik. Jika Mythos atau model AI serupa berhasil mengeksploitasi kerentanan zero-day pada infrastruktur salah satu dari tiga penyedia ini, dampaknya tidak akan terbatas pada satu bank—melainkan dapat menyebar ke seluruh ekosistem keuangan yang menggunakan layanan tersebut.

Analoginya sederhana: sehebat apa pun sebuah bank lokal di Indonesia membangun firewall internalnya, jika fondasi cloud yang mereka sewa runtuh, sistem mereka ikut runtuh. Ini bukan kegagalan bank—ini adalah kegagalan vendor.

Pertanyaannya kemudian menjadi sangat konkret: apakah OJK memiliki yurisdiksi untuk mengaudit infrastruktur cloud global yang beroperasi di Indonesia?

Secara formal, POJK No. 11/2022 memang menyebut kewajiban pengelolaan risiko pihak ketiga. Namun "pengelolaan risiko" dalam konteks regulasi perbankan domestik sangat berbeda dengan kemampuan melakukan security audit terhadap infrastruktur AWS yang tersebar di data center lintas negara. MAS Singapura, misalnya, telah berkoordinasi langsung dengan Badan Keamanan Siber Singapura untuk memperkuat perlindungan operator infrastruktur kritis. Ini adalah model yang lebih realistis—bukan hanya mengandalkan bank untuk "mengelola" vendor mereka, tetapi melibatkan otoritas siber negara secara langsung.

Indonesia belum memiliki mekanisme setara yang secara eksplisit menjangkau audit keamanan vendor cloud global. Dan selama celah ini ada, regulasi yang paling ketat sekalipun akan tetap meninggalkan jendela belakang terbuka.

Dua Vektor Serangan yang Harus Dipahami Regulator

Untuk memahami mengapa pendekatan regulasi saat ini belum cukup, kita perlu memahami dua vektor serangan utama yang dimungkinkan oleh AI generasi Mythos:

1. Autonomous Zero-Day Discovery

Mythos mampu melakukan analisis kode dan fuzzing secara mandiri—tanpa panduan manusia. Dalam praktiknya, ini berarti model dapat secara sistematis menguji ribuan titik masuk pada sistem perbankan: dari validasi input formulir transaksi, mekanisme autentikasi dua faktor, hingga kerentanan di level kernel sistem operasi server. Celah yang selama ini tersembunyi karena keterbatasan kapasitas manusia untuk menemukannya kini dapat diidentifikasi dalam hitungan jam.

Yang membuat ini lebih mengkhawatirkan: kerentanan ini tidak hanya ada di sistem bank. Mereka ada di lapisan infrastruktur yang lebih dalam—di sistem operasi yang dijalankan oleh cloud provider, di browser yang digunakan nasabah, di library open-source yang dipakai oleh hampir semua aplikasi perbankan digital.

2. Behavioral Mimicry: Ketika Penyerang Terlihat Seperti Nasabah Biasa

Vektor kedua bahkan lebih sulit dideteksi. AI prediktif kini memungkinkan penyerang untuk mereplikasi network traffic dan perilaku pengguna yang sah dengan presisi tinggi. Sistem keamanan tradisional—Intrusion Detection System (IDS), Intrusion Prevention System (IPS), dan Web Application Firewall (WAF) berbasis static rule-set—dirancang untuk mendeteksi anomali. Namun jika serangan terlihat identik dengan transaksi normal, sistem ini menjadi buta.

Fenomena ini sudah terdokumentasi dalam konteks yang lebih luas: AI memungkinkan penjahat untuk "sound and talk exactly like a specific customer," membuat identity fraud dan account takeover jauh lebih sulit dideteksi. Dalam konteks Mythos, kemampuan ini berpotensi ditingkatkan ke level yang belum pernah ada sebelumnya.

Apa yang Seharusnya Dilakukan OJK?

Kritik tanpa solusi adalah keluhan. Maka, ada tiga arah konkret yang layak dipertimbangkan:

Pertama: Geser Fokus dari "Kepatuhan Bank" ke "Audit Vendor Pihak Ketiga"

OJK perlu mengembangkan kerangka audit yang secara eksplisit menjangkau penyedia layanan cloud yang digunakan perbankan Indonesia. Ini bisa dimulai dengan mewajibkan bank untuk melaporkan secara transparan ketergantungan mereka pada vendor cloud spesifik, termasuk tingkat konsentrasi risiko. Langkah selanjutnya adalah membangun mekanisme koordinasi dengan otoritas siber negara asal vendor tersebut—model yang sudah dipraktikkan MAS Singapura bersama Cyber Security Agency of Singapore.

Kedua: Hedging Risiko Sistemik Cloud Provider

Bank-bank Indonesia perlu didorong—atau diwajibkan—untuk mengadopsi strategi multi-cloud atau hybrid cloud yang mengurangi ketergantungan pada satu penyedia tunggal. Ini bukan solusi sempurna, tetapi secara signifikan mengurangi risiko single point of failure. Anthropic sendiri telah mengalokasikan USD 100 juta dalam bentuk kredit kepada mitra Project Glasswing dan USD 4 juta untuk organisasi keamanan open-source, dengan tujuan membangun kapasitas defensif. Regulator Indonesia dapat mendorong partisipasi aktif bank-bank nasional dalam ekosistem defensif semacam ini.

Ketiga: Bangun Kapasitas Yurisdiksi Siber yang Lebih Kuat

Pertanyaan yurisdiksi adalah yang paling kompleks, tetapi tidak bisa dihindari. OJK perlu berkoordinasi lebih erat dengan Badan Siber dan Sandi Negara (BSSN) untuk membangun kapasitas audit yang menjangkau infrastruktur digital lintas batas. Bank Sentral India, misalnya, sudah mengadakan konsultasi langsung dengan Federal Reserve dan Bank of England mengenai risiko Mythos—dan berencana menjalin komunikasi langsung dengan Anthropic. Ini adalah preseden yang bisa diikuti Indonesia.

Regulasi yang Tepat untuk Ancaman yang Tepat

Tidak ada yang meragukan niat baik OJK dalam merespons ancaman AI terhadap sistem perbankan. Kecepatan respons mereka, dalam konteks global, tergolong baik. Namun kecepatan tanpa arah yang tepat hanya menghasilkan energi yang terbuang.

Ancaman yang dibawa oleh model AI seperti Mythos bersifat sistemik dan lintas batas—ia tidak menghormati perimeter regulasi domestik. Selama fokus regulasi masih tertuju pada kepatuhan internal bank, sementara single point of failure sesungguhnya ada di infrastruktur cloud global yang berada di luar yurisdiksi langsung OJK, maka sistem perbankan Indonesia tetap rentan—tidak peduli seberapa tebal tumpukan dokumen kepatuhan yang dimiliki setiap bank.

Pertanyaan yang perlu dijawab bukan hanya "apakah bank sudah patuh?" tetapi "apakah regulasi kita sudah menyentuh risiko yang benar?"

Bagaimana menurut Anda—sudah saatnya OJK memperluas mandatnya untuk mencakup audit keamanan vendor cloud global yang beroperasi di Indonesia?