CVE-2026-5194: WolfSSL Certificate Forgery (CVSS 9.1) — Bagian dari 6.200+ Kerentanan yang Ditemukan AI dalam Infrastruktur Open-Source Kritis

Project Glasswing milik Anthropic mengungkapkan pada 22–23 Mei 2026 bahwa Claude Mythos Preview secara otonom menemukan CVE-2026-5194, kerentanan kritis (CVSS 9.1) dalam library kriptografi WolfSSL — yang digunakan secara luas dalam sistem tertanam, IoT, dan tumpukan TLS — yang memungkinkan penyerang untuk memalsukan sertifikat X.509 dan menyamar sebagai layanan sah termasuk domain perbankan dan email tanpa terdeteksi. Mythos Preview tidak hanya mengidentifikasi kerentanan tetapi juga membangun eksploit yang berfungsi mendemonstrasikan pemalsuan sertifikat. Secara lebih luas, Anthropic memindai 1.000+ proyek open-source yang banyak digunakan dan menemukan 6.202 kerentanan dengan tingkat keparahan tinggi atau kritis dengan tingkat kepositifan sejati yang dikonfirmasi 90,8% dari tinjauan firma keamanan eksternal. Pada saat pengungkapan, hanya 97 dari kerentanan yang dilaporkan awalnya yang telah diperbaiki upstream, mengungkapkan hambatan parah: pengelola open-source relawan dibanjiri oleh pengungkapan kerentanan yang dihasilkan AI berkualitas tinggi. Katalog lengkap CVE yang ditemukan Glasswing akan diungkapkan sesuai jadwal pengungkapan terkoordinasi 90 hari seiring dengan tersedianya patch.

Untuk CVE-2026-5194 secara spesifik: penyerang dengan kemampuan memalsukan sertifikat WolfSSL dapat melakukan serangan penyamaran HTTPS terhadap sistem yang mengandalkan WolfSSL untuk validasi TLS, memungkinkan penyadapan man-in-the-middle tanpa memicu peringatan sertifikat. Untuk katalog Glasswing yang lebih luas: Mythos Preview mendemonstrasikan konstruksi rantai eksploit — menghubungkan beberapa bug tingkat rendah menjadi eksploit tingkat tinggi tunggal secara otonom, yang berarti permukaan risiko dari 6.200+ kerentanan ini secara signifikan lebih tinggi daripada skor CVSS individu yang disarankan secara terpisah.

Library kriptografi WolfSSL (semua versi sebelum rilis yang diperbaiki — status patch akan dikonfirmasi terhadap pemberitahuan WolfSSL); 1.000+ proyek open-source di seluruh program pemindaian Glasswing, secara kolektif mendukung porsi signifikan dari infrastruktur internet, layanan cloud, dan tumpukan perangkat lunak enterprise.

Untuk CVE-2026-5194: pantau pemberitahuan WolfSSL (https://www.wolfssl.com/docs/security-vulnerabilities/) untuk rilis patch terkoordinasi; terapkan segera setelah tersedia. Untuk katalog Glasswing yang lebih luas: berlangganan umpan pengungkapan CVE Glasswing milik Anthropic dan perlakukan setiap CVE yang dikaitkan dengan Glasswing sebagai prioritas tinggi untuk triase. Perluas proses triase kerentanan untuk menggunakan konteks kemampuan eksploitasi (skor EPSS, status KEV, keterjangkauan) daripada CVSS mentah saja — volume pengungkapan tinggi/kritis yang dikonfirmasi diharapkan selama 2026 akan membanjiri tim yang hanya mengandalkan penilaian tingkat keparahan. Implementasikan kontrol kompensasi (certificate pinning ketat, mTLS, segmentasi jaringan) untuk sistem yang menggunakan WolfSSL dalam jalur kritis.