Dua Perusahaan Keamanan Siber Berselisih Soal Klaim CVE yang Tumpang Tindih

Perseteruan terbuka terjadi antara dua perusahaan keamanan siber, FuzzingLabs dan Gecko Security, setelah FuzzingLabs menuduh startup yang didukung Y Combinator itu menyalin hasil temuannya dan mengklaim kredit atas beberapa kerentanan (Common Vulnerabilities and Exposures atau CVE).
FuzzingLabs menuding Gecko telah menyalin bukti konsep (Proof of Concept / PoC), mengajukan ulang laporan yang sama, dan bahkan memundurkan tanggal publikasi di blog agar tampak lebih dahulu menemukan celah tersebut.
Tuduhan FuzzingLabs
Dalam pernyataannya di media sosial, FuzzingLabs menulis:
โMereka menyalin PoC kami, mengklaim ID CVE, dan bahkan memundurkan tanggal posting blog mereka. Ini bukan hanya soal dua CVE, tapi soal integritas dalam riset keamanan.โ
Dua kerentanan yang dipermasalahkan antara lain:
- Ollama (ollama/ollama) โ celah pencurian token autentikasi server. Dilaporkan pertama kali pada 24 Desember 2024 dan kemudian diberi ID CVE-2025-51471.
- Gradio (gradio-app/gradio) โ celah penyalinan file arbitrer dan Denial of Service melalui mekanisme flagging. Dilaporkan pada 16 Januari 2025 dan diberi ID CVE-2025-48889.
FuzzingLabs, yang dikenal dengan pengembangan alat fuzzing berbasis AI bernama FuzzForge, menegaskan bahwa laporan asli mereka di platform Huntr sudah dipublikasikan sebelum Gecko mengajukan pull request (PR) ke proyek terkait. Bahkan, mereka menemukan bahwa beberapa kerentanan kini memiliki dua ID CVE: satu dari laporan mereka, dan satu lagi dari PR yang dikirim Gecko.
Perusahaan itu juga mengklaim memiliki โbukti tak terbantahkanโ bahwa PoC Gecko menyalin eksploitasi mereka baris demi baris, termasuk โpenanda unikโ yang sengaja disisipkan untuk mendeteksi plagiarisme.
โBukan hanya kami,โ tulis FuzzingLabs, โsetidaknya tujuh kerentanan lain di situs mereka tampak berasal dari peneliti lain.โ

Respons Gecko Security
Menanggapi tuduhan tersebut, Gecko Security membantah adanya pelanggaran dan menyebut insiden ini sebagai โkesalahpahaman dalam proses pengungkapan kerentanan.โ
Startup yang memposisikan diri sebagai โAI Security Engineer for your Codebaseโ itu menjelaskan bahwa mereka bekerja langsung dengan maintainer proyek melalui GitHub, bukan melalui platform pihak ketiga seperti Huntr. Menurut Gecko, mereka tidak mengetahui laporan FuzzingLabs pada saat itu, sehingga duplikasi tidak dapat dihindari.
โKami kecewa dengan tuduhan publik tanpa komunikasi terlebih dahulu, terutama setelah kami meluncurkan produk yang bersaing,โ tulis Gecko dalam tanggapannya.
โKami telah memberikan kredit kepada FuzzingLabs untuk dua CVE yang memang ditemukan lebih dahulu. Klaim soal CVE yang โdicuriโ tidak berdasar karena banyak tautan yang diberikan sudah ditandai sebagai โduplikatโ atau โtidak validโ di Huntr.โ
Gecko kemudian memperbarui beberapa posting blog mereka dengan mencantumkan nama peneliti FuzzingLabs, Mohammed Benhelli dan Patrick Ventuzelo, serta menyesuaikan tanggal publikasi agar transparan.
Komunitas Terbelah
Beberapa anggota komunitas keamanan siber menilai respons Gecko masih menyisakan pertanyaan, sementara yang lain menyoroti kompleksitas proses validasi laporan CVE ganda, terutama di tengah ketidakpastian arah program CVE yang dikelola oleh CISA.
Dalam email kepada BleepingComputer, Patrick Ventuzelo dari FuzzingLabs kembali menegaskan keprihatinannya atas โurutan kejadian dan entri blog yang dimundurkan,โ yang dinilainya menimbulkan pertanyaan tentang kredibilitas keseluruhan proses Gecko.
Kasus ini mencerminkan tantangan besar dalam menjaga integritas dan koordinasi pengungkapan kerentanan secara bertanggung jawab, terutama ketika beberapa pihak dapat menemukan celah yang sama secara independen di berbagai platform atau melalui sistem otomatis yang mengumpulkan data keamanan dari sumber publik.
Sumber: BleepingComputer








