Pada tahun 2024, para peneliti dari University of Illinois menemukan bahwa GPT-4, ketika diberikan deskripsi pada umumya terkait kerentanan dan eksposur (CVE), dapat secara otomatis mengeksploitasi 87% dari dataset 15 kerentanan dalam satu hari. Tanpa deskripsi tersebut, kemampuannya turun drastis hanya menjadi 7%. Ini memberikan “margin keselamatan” untuk industri, karena meskipun AI mampu mengeksploitasi kerentanan yang sudah dikenal, AI tidak dapat menemukannya sendiri.
Namun, pada 7 April, Anthropic mengumumkan bahwa Claude Mythos Preview telah menutup margin tersebut, dengan model yang dapat secara otomatis menemukan ribuan kerentanan zero-day di berbagai sistem operasi dan peramban utama. Terpisah, Mythos mencatat skor 83,1% pada benchmark reproduksi kerentanan CyberGym. Dalam satu kampanye yang menargetkan OpenBSD melalui 1.000 percobaan, total biaya komputasi kurang dari $20.000.
Waktu eksploitatif semakin mendekat. Kerentanan Langflow CVE-2026-33017 (CVSS 9.8) dieksploitasi hanya 20 jam setelah disingkapkan tanpa bukti konsep publik. Sementara itu, CVE-2026-39987 dari Marimo terdeteksi dalam waktu 9 jam 41 menit.
Infrastruktur defensif yang selama ini diandalkan kebanyakan organisasi tidak dirancang untuk situasi seperti ini. Laporan lanskap ancaman Rapid7 tahun 2026 menyebutkan bahwa waktu median dari publikasi CVE hingga daftar kerentanan yang sudah dieksploitasi oleh CISA adalah lima hari. Laporan M-Trends 2026 dari Google menemukan bahwa eksploitatif terjadi bahkan sebelum patch dirilis. Ketika advis Langflow diterbitkan, eksploitasi pertama datang dalam waktu 20 jam. Dalam kasus Marimo, ini terjadi dalam waktu kurang dari 10 jam.
Asumsi bahwa jendela patch Anda aman karena eksplotasi membutuhkan waktu kini tidak lagi relevan. Berikut adalah langkah-langkah yang bisa diambil.
Ganti prioritas CVSS-only dengan filter tiga lapis
Kebanyakan program manajemen kerentanan masih memprioritaskan berdasarkan skor CVSS semata. CVSS mengukur tingkat keparahan “teoritis” tanpa mempertimbangkan apakah kerentanan tersebut sedang dieksploitasi di dunia nyata atau seberapa cepat seseorang bisa memanfaatkan kerentanan itu. Kerentanan dengan CVSS 8.8 yang memiliki riwayat eksploitasi aktif, seperti CVE-2026-34040 dari Docker, mendapat prioritas lebih rendah dibandingkan kerentanan CVSS 9.8 yang mungkin tidak pernah dieksploitasi di dunia nyata.
Sebuah studi terbaru yang mengvalidasi 28.377 kerentanan dunia nyata memberikan solusi konkret: Sebuah pohon keputusan tiga lapis yang menggabungkan status CISA KEV, skor Exploit Prediction Scoring System (EPSS), dan CVSS untuk membentuk filter prioritas yang tunggal.
Filter Prioritas Kerentanan Tiga Lapis
|
Lapisan |
Sumber data |
Ambang batas |
Langkah |
SLA |
|
1. Eksploitasi aktif |
Katalog CISA KEV |
Terdaftar |
Patching segera |
Jam |
|
2. Eksploitasi yang diprediksi |
EPSS dari FIRST.org |
Skor ≥ 0.088 |
Naik ke saluran Tier 0 |
24 jam |
|
3. Dasar keparahan |
CVSS dari NVD |
Skor ≥ 7.0 |
Remediasi standar |
Sesuai kebijakan |
Hasil yang divalidasi: 18 kali peningkatan efisiensi, 85,6% cakupan kerentanan yang dieksploitasi, ~95% pengurangan dalam beban kerja remediasi mendesak. Ketiga sumber data tersebut terbuka dan gratis.
Integrasi yang dijelaskan sepenuhnya dapat diotomatisasi. Dimungkinkan untuk membangun sebuah skrip yang mengquery API CISA KEV, API EPSS dari FIRST.org, dan NVD, serta menjalankan skrip tersebut terhadap inventaris aset Anda untuk setiap CVE yang dipublikasikan. Manusia dalam proses ini harus tetap ada sebagai pembenar, tetapi bukan sebagai pemicu.
Tutupi celah otorisasi agen
Menciptakan eksploitasi dengan cepat tidak hanya mengubah cara patch diprioritaskan, tetapi juga bagaimana kontrol diatur untuk semua sistem yang dioperasikan agen dan kini memiliki kredensial istimewa. Kebijakan otorisasi Anda belum dievaluasi berdasarkan perilaku agen AI, dan ini kini menjadi risiko yang terukur. CVE-2026-34040 menunjukkan bahwa arsitektur plugin otorisasi Docker tanpa diketahui melewati setiap plugin saat body permintaan melebihi 1MB. Plugin AuthZ umum (OPA, Casbin, Prisma Cloud) tidak mengetahui tentang jenis bypass ini, yang terjadi di middleware Docker sebelum permintaan mencapai plugin.
Saat Cyera mendemonstrasikan kerentanan ini, mereka menunjukkan bahwa agen AI yang mendebug infrastruktur dapat mengetahui jalur bypass sambil menyelesaikan tugas yang sah, tanpa instruksi untuk mengeksploitasi apa pun.
Internet Engineering Task Force (IETF) sedang mengerjakan model otorisasi untuk agen. Dokumen draft-klrc-aiagent-auth-01, yang diterbitkan pada bulan Maret oleh para peserta dari AWS, Zscaler, Ping Identity, dan OpenAI, mengusulkan penggunaan kerangka Secure Production Identity Framework for Everyone (SPIFFE) dan OAuth 2.0 agar agen AI dapat memperoleh kredensial yang dipasok secara dinamis dan memiliki masa berlaku pendek.
Secara terpisah, draf protokol identitas agen (draft-prakash-aip-00) IETF melaporkan bahwa dari sekitar 2.000 server protokol konteks model (MCP) yang disurvei, tidak ada yang memiliki autentikasi.
Namun standar ini masih berbulan-bulan hingga bertahun-tahun lagi untuk diimplementasikan. Untuk saat ini, tim keamanan harus proaktif mengintegrasikan skenario tes untuk semua batas otorisasi, seperti permintaan yang terlalu besar, frekuensi lonjakan, dan eskalasi multi-langkah dari permintaan berbuntut istimewa.
Petakan radius jangkauan kredensial Anda
Dalam satu survei yang dilakukan oleh CSA/Zenity dan diterbitkan pada 16 April, 53% organisasi mengaku telah melihat kasus di mana agen AI melebihi izin yang diharapkan, dan 47% mengalami insiden keamanan yang melibatkan agen tersebut.
Saat alat pembuat AI seperti Flowise (CVE-2025-59528, CVSS 10.0), Langflow, atau n8n menjadi terkompromi, radius jangkauan mengembang jauh melampaui host. Alat ini mengandung kunci API untuk model frontier, kredensial basis data, token penyimpanan vektor, dan token OAuth untuk sistem bisnis. Host pembuat AI yang terkompromi bukan hanya pelanggaran satu sistem. Ini adalah pengumpulan kredensial yang membuka akses terautentikasi ke semua layanan yang terhubung.
Tanpa peta ketergantungan kredensial untuk setiap host alat AI, respons insiden untuk kompromi agen hanya akan menjadi tebak-tebakan. Untuk setiap kasus, dokumentasikan setiap kredensial, ruang lingkup aksesnya, dan proses rotasi kredensial yang relevan. Selain itu, mulai migrasi kunci API statis ke token jangka pendek di mana layanan hilir diizinkan.
Lima tindakan untuk kuartal ini
1. Terapkan filter tiga lapis KEV-EPSS-CVSS
Ganti prioritas CVSS hanya berdasarkan tabel di atas. Otomatiskan pengumpulan data dari ketiga API sebagai bagian dari skrip terjadwal terhadap inventaris aset Anda. Hasil yang diinginkan: 18 kali lebih efisien, 85,6% cakupan kerentanan yang dieksploitasi, pengurangan 95% dalam beban kerja remediasi mendesak.
2. Implementasikan patching berbasis acara untuk layanan Tier 0.
Tentukan layanan mana yang masuk dalam tier paparan kritis: layanan yang langsung terpapar kepada pengguna internet, host pembuat AI, dan control plane orkestrasi kontainer. Aktifkan patching berbasis acara saat publikasi CVE, bukan menunggu jendela pemeliharaan berikutnya untuk tier ini.
Tujuan: menerapkan patch dalam waktu empat jam setelah CVE dinyatakan kritis. Gunakan umpan CISA KEV dan EPSS untuk memicu patching berbasis acara. Dalam situasi di mana tidak mungkin memenuhi tujuan patching empat jam karena ketergantungan warisan, jeda perubahan, atau risiko rollback, segera terapkan kontrol kompensasi seperti menghapus paparan internet terhadap layanan yang rentan, merotasi kredensial untuk layanan yang rentan, menonaktifkan fungsi yang terpengaruh dari layanan tersebut (jika applicable), dan mengidentifikasi pemilik pengecualian untuk eksposur sampai patch dapat diterapkan.
Tidak dapat diterima untuk membiarkan eksposur yang tidak terbatas untuk jangka waktu yang lama sambil menunggu jendela pemeliharaan.
3. Uji batas otorisasi dalam skala agen.
Buat kasus tes untuk setiap API yang mungkin berkomunikasi dengan agen AI melalui kebijakan AuthZ. Secara khusus, sertakan kasus tes untuk permintaan yang melebihi ukuran body 1MB, 5MB, dan 10MB. Ini termasuk kasus tes untuk laju lonjakan > 100 permintaan per detik dan kasus tes untuk kombinasi parameter yang tidak biasa (bendera istimewa, mount host, tambahan kapasitas). Selain itu, patch ke Docker Engine 29.3.1 untuk memperbaiki CVE-2026-34040.
4. Pemetaaan radius jangkauan kredensial untuk semua host pembuat AI.
Dokumentasikan setiap kredensial untuk setiap instance Langflow, Flowise, n8n, dan pipeline AI kustom. Klasifikasikan setiap kredensial berdasarkan masa hidupnya (kunci statis vs. token jangka pendek). Identifikasi apa saja yang bisa diakses oleh masing-masing kredensial. Siapkan pengingat untuk akses kredensial yang tidak biasa berdasarkan IP atau identitas tertentu.
5. Lakukan pemindaian penemuan shadow AI minggu ini.
Menurut data CSA, ada lebih dari 50% kemungkinan bahwa agen Anda telah melebihi batas yang diharapkan. Periksa alat Security Information and Event Management (SIEM) dan alat pemantauan jaringan untuk komunikasi ke port default pembuat AI: Langflow 7860, Flowise 3000, dan n8n 5678. Instance yang tidak sah adalah permukaan serangan yang tidak terpantau.
Kesimpulan
Agen AI sedang berkembang, dan badan standar bereaksi. IETF memiliki beberapa draft terkait autentikasi dan otorisasi agen. Coalition for Secure AI telah menerbitkan taksonomi keamanan MCP dan prinsip Secure-by-Design.
Tetapi standar ini bergerak dengan kecepatan lembaga standar, dan jendela eksploitasi sekarang diukur dalam hitungan jam. Organisasi yang menerapkan filter tiga lapis dan patching berbasis acara pada kuartal ini akan mengalami pengurangan paparan yang terukur. Sementara yang menunggu akan terjebak dalam siklus patch berbasis kalender melawan lawan yang beroperasi dalam waktu kurang dari 20 jam.
