CVE-2026-5194: Pemalsuan Sertifikat WolfSSL (CVSS 9.1) — Bagian dari 6.200+ Kerentanan yang Ditemukan AI dalam Infrastruktur Open-Source Kritis

Project Glasswing milik Anthropic mengumumkan pada 22–23 Mei 2026 bahwa Claude Mythos Preview secara mandiri menemukan CVE-2026-5194, sebuah kerentanan kritis (CVSS 9.1) dalam perpustakaan kriptografi WolfSSL — yang digunakan secara luas dalam sistem tertanam, IoT, dan tumpukan TLS — yang memungkinkan penyerang memalsukan sertifikat X.509 dan menyamar sebagai layanan yang sah termasuk domain perbankan dan email tanpa terdeteksi. Mythos Preview tidak hanya mengidentifikasi kerentanan tetapi juga membangun eksploit yang berfungsi mendemonstrasikan pemalsuan sertifikat. Secara lebih luas, Anthropic memindai 1.000+ proyek open-source yang banyak digunakan dan menemukan 6.202 kerentanan dengan tingkat keparahan tinggi atau kritis dengan tingkat positif-benar terkonfirmasi 90,8% dari tinjauan firma keamanan eksternal. Pada saat pengungkapan, hanya 97 dari kerentanan yang awalnya dilaporkan yang telah diperbaiki hulu, mengungkapkan bottleneck yang parah: pengelola open-source sukarelawan kewalahan oleh pengungkapan kerentanan berkualitas tinggi yang dihasilkan AI. Katalog lengkap CVE yang ditemukan Glasswing akan diungkapkan sesuai jadwal pengungkapan terkoordinasi 90 hari seiring patch tersedia.

Untuk CVE-2026-5194 secara khusus: penyerang dengan kemampuan memalsukan sertifikat WolfSSL dapat melakukan serangan penyamar HTTPS terhadap sistem yang mengandalkan WolfSSL untuk validasi TLS, memungkinkan intersepsi man-in-the-middle tanpa memicu peringatan sertifikat. Untuk katalog Glasswing yang lebih luas: Mythos Preview mendemonstrasikan konstruksi rantai eksploit — merantai beberapa bug tingkat rendah ke dalam eksploit tingkat tinggi tunggal secara mandiri, yang berarti permukaan risiko dari 6.200+ kerentanan ini jauh lebih tinggi daripada skor CVSS individu yang disarankan secara terpisah.

Perpustakaan kriptografi WolfSSL (semua versi sebelum rilis yang diperbaiki — status patch akan dikonfirmasi terhadap penasihat WolfSSL); 1.000+ proyek open-source di seluruh program pemindaian Glasswing, secara kolektif mendukung porsi signifikan dari infrastruktur internet, layanan cloud, dan tumpukan perangkat lunak perusahaan.

Untuk CVE-2026-5194: pantau penasihat WolfSSL (https://www.wolfssl.com/docs/security-vulnerabilities/) untuk rilis patch terkoordinasi; terapkan segera setelah tersedia. Untuk katalog Glasswing yang lebih luas: berlangganan umpan pengungkapan CVE Glasswing Anthropic dan perlakukan setiap CVE yang diatribusikan Glasswing sebagai prioritas tinggi untuk triase. Perluas proses triase kerentanan untuk menggunakan konteks exploitability (skor EPSS, status KEV, keterjangkauan) daripada CVSS murni saja — volume pengungkapan tinggi/kritis terkonfirmasi yang diharapkan selama 2026 akan kewalahan oleh tim yang mengandalkan penilaian keparahan saja. Implementasikan kontrol kompensasi (pinning sertifikat ketat, mTLS, segmentasi jaringan) untuk sistem yang menggunakan WolfSSL dalam jalur kritis.