Sebuah insiden kebocoran data baru-baru ini di Meta membuktikan betapa rentannya sistem AI yang ada. Maret lalu, sebuah agen AI yang tak terduga berhasil melewati semua pemeriksaan identitas dan tetap membocorkan data sensitif kepada karyawan yang tidak berwenang. Dua minggu kemudian, Mercor, sebuah startup AI senilai $10 miliar, juga mengonfirmasi adanya pelanggaran di rantai pasokan melalui LiteLLM. Kedua insiden ini menunjukkan adanya celah struktural yang sama dalam keamanan. Ada monitoring tanpa penegakan, dan ada penegakan tanpa isolasi.
- Permukaan ancaman yang tidak terlihat oleh keamanan tahap satu
- Jam regulasi dan arsitektur identitas
- Pengaman tidak cukup sebagai strategi
- Matriks Preskriptif VentureBeat: Audit Kematangan Keamanan Agen AI
- Kesiapan tahap hyperscaler: amati, tegakkan, isolasi
- Allianz menunjukkan penerapan tahap tiga
- Urutan remediasi 90 hari
- Apa yang terjadi dalam 30 hari ke depan
- Apa yang dibutuhkan urutan ini
Dalam survei tiga gelombang oleh VentureBeat yang melibatkan 108 perusahaan terpilih, ternyata celah ini bukanlah kasus terpinggirkan. Ini adalah arsitektur keamanan yang paling umum digunakan saat ini. Survei Gravitee mengenai Keamanan AI 2026, yang melibatkan 919 eksekutif dan praktisi, mengukur bagaimana ketidakselarasan ini berdampak. Sebanyak 82% eksekutif meyakini kebijakan mereka menjaga dari tindakan agen yang tidak berwenang. Namun, 88% melaporkan insiden keamanan yang melibatkan agen AI dalam dua belas bulan terakhir. Yang mengejutkan, hanya 21% yang memiliki visibilitas mengenai aktifitas real-time agen mereka.
Berdasarkan laporannya, 97% pemimpin keamanan perusahaan memperkirakan akan mengalami insiden yang berhubungan dengan agen AI dalam waktu 12 bulan ke depan. Namun, hanya 6% dari anggaran keamanan yang ditujukan untuk menangani risiko tersebut. Hasil survei VentureBeat menunjukkan bahwa investasi monitoring meningkat lagi menjadi 45% dari total anggaran keamanan pada bulan Maret setelah sempat turun menjadi 24% di bulan Februari, saat perusahaan-perusahaan awal mulai mengalihkan anggaran ke penegakan runtime dan sandboxing. Meski pola ini konsisten dengan sampel yang lebih besar pada Februari, perusahaan-perusahaan tampak terjebak dalam pengamatan sementara agen mereka butuh isolasi.
Hasil audit menunjukkan tiga tahapan. Tahap pertama adalah observasi. Tahap kedua adalah penegakan, di mana integrasi IAM dan kontrol antar penyedia mengubah pengamatan menjadi tindakan. Tahap ketiga adalah isolasi, eksekusi dalam sandbox yang membatasi jangkauan dampak saat pengaman gagal. Data VentureBeat Pulse dari 108 perusahaan terpilih mengaitkan setiap tahap dengan sinyal investasi, vektor ancaman OWASP ASI, dan langkah-langkah langsung yang dapat diambil oleh para pemimpin keamanan.
Permukaan ancaman yang tidak terlihat oleh keamanan tahap satu
OWASP Top 10 untuk Aplikasi Agen 2026 merangkum permukaan serangan yang dihadapi. Sepuluh risiko yang teridentifikasi adalah: pembajakan tujuan (ASI01), penyalahgunaan alat (ASI02), penyalahgunaan identitas dan hak akses (ASI03), kerentanan rantai pasokan agen (ASI04), eksekusi kode yang tidak terduga (ASI05), keracunan memori (ASI06), komunikasi antarpelaku yang tidak aman (ASI07), kegagalan berantai (ASI08), eksploitasi kepercayaan antara manusia dan agen (ASI09), serta agen yang nakal (ASI10). Banyak dari risiko ini tidak ada analognya dalam aplikasi LLM tradisional.
Audit yang dilakukan juga mengungkapkan enam risiko ini dan kontrol penanganannya. Misalnya, Invariant Labs mengungkapkan serangan keracunan alat di MCP pada April 2025, di mana instruksi berbahaya di dalam deskripsi alat server MCP menyebabkan agen mengekstrak file atau mengambil alih server yang dipercaya.
Merritt Baer, CSO di Enkrypt AI, menjelaskan bahwa celah ini terjadi karena perusahaan percaya telah “mengizinkan” vendor AI tanpa menyadari bahwa yang sebenarnya mereka izinkan hanyalah antarmuka, bukan sistem mendasar yang ada di baliknya. Dependensi yang sesungguhnya ini terletak beberapa lapisan lebih dalam dan inilah yang gagal saat mendapat tekanan.
Akhirnya, CrowdStrike CTO Elia Zaitsev menggarisbawahi masalah visibilitas dalam dunia operasional. Menurutnya, sulit untuk membedakan antara agen yang menjalankan browser web Anda dan Anda yang menjalankannya sendiri. Membedakan kedua kondisi ini membutuhkan analisis mendalam pada proses yang berjalan untuk mengetahui apakah Chrome diluncurkan oleh manusia atau oleh agen di latar belakang.
Jam regulasi dan arsitektur identitas
Prioritas auditabilitas juga menunjukkan cerita serupa. Di bulan Januari, 50% responden menganggapnya sebagai perhatian utama. Namun, pada bulan Februari, angka ini turun menjadi 28% saat tim berlomba-lomba untuk menerapkan solusi. Maret kemudian mengalami lonjakan menjadi 65% ketika tim yang sama menyadari bahwa mereka tidak memiliki jejak forensic tentang apa yang dilakukan oleh agen-agen mereka.
Aturan HIPAA 2026 untuk pelanggaran yang disengaja mematok denda maksimum sebesar $2,19 juta per kategori pelanggaran per tahun. Dalam sektor kesehatan, survei Gravitee menemukan 92,7% organisasi melaporkan insiden keamanan agen AI, jauh lebih tinggi dari rata-rata industri yang 88%. Bagi sistem kesehatan yang menggunakan agen yang terhubung dengan PHI, rasio tersebut menjadi pembeda antara pelanggaran yang dapat dilaporkan atau penemuan kelalaian yang tidak dapat dibantah.
Mike Riemer, Field CISO di Ivanti, menjelaskan betapa cepatnya ancaman muncul dengan menyebutkan bahwa aktor ancaman dapat membalikkan rekayasa patch dalam waktu 72 jam. Jika pelanggan tidak memperbarui dalam kurun waktu itu, mereka terbuka untuk dieksploitasi. Sayangnya, umumnya perusahaan memerlukan waktu berminggu-minggu untuk menyelesaikannya. Agen yang beroperasi pada kecepatan mesin itu memperlebar jendela waktu menjadi eksposur yang permanen.
Masalah identitas ini bersifat arsitektural. Dalam survei Gravitee yang melibatkan 919 praktisi, hanya 21,9% tim yang memperlakukan agen sebagai entitas yang membawa identitas. Sebanyak 45,6% masih menggunakan kunci API bersama, dan 25,5% agen yang diterapkan dapat membuat dan memberikan tugas kepada agen lain. Sekitar seperempat perusahaan dapat meluncurkan agen yang tidak pernah disediakan oleh tim keamanan mereka.
Pengaman tidak cukup sebagai strategi
Sebuah makalah dari Kazdan dan rekan-rekannya (Stanford, ServiceNow Research, Toronto, FAR AI) menunjukkan serangan penyetelan halus yang mengabaikan pengaman tingkat model dalam 72% upaya terhadap Claude 3 Haiku dan 57% terhadap GPT-4o. Serangan ini mendapatkan bounty bug senilai $2.000 dari OpenAI dan diakui sebagai kerentanan oleh Anthropic. Pengaman pada dasarnya membatasi apa yang diperintahkan kepada agen, bukan apa yang bisa diakses oleh agen yang telah terkompromi.
Para CISO sudah menyadari hal ini. Dalam survei tiga gelombang yang dilakukan VentureBeat, pencegahan tindakan yang tidak sah selalu merupakan kemampuan prioritas tertinggi dengan persentase 68% hingga 72%, sinyal paling stabil di dataset. Tuntutan adalah untuk pemberian izin, bukan sekedar arahan. Pengaman berfokus pada area kontrol yang salah.
Zaitsev menjelaskan perubahan ini pada RSAC 2026 dengan tegas: “Agen AI dan identitas non-manusia akan berkembang pesat di seluruh perusahaan, melampaui identitas manusia.” Setiap agen akan beroperasi sebagai super-manusia dengan token OAuth, kunci API, dan akses terus-menerus ke set data yang selama ini terpisah.
Matriks Preskriptif VentureBeat: Audit Kematangan Keamanan Agen AI
| Stage | Attack Scenario | What Breaks | Detection Test | Blast Radius | Recommended Control |
| 1: Observe | Penyerang menyisipkan muatan pembajakan tujuan dalam email yang diteruskan (ASI01). Agen merangkum email dan dengan diam-diam mengekstrak kredensial ke endpoint eksternal. Lihat: insiden Meta Maret 2026. | Tidak ada log runtime yang menangkap ekfiltrasi. SIEM tidak pernah melihat panggilan API. Tim keamanan baru tahu setelah ada laporan dari korban. Menurut Zaitsev, aktivitas agen “tidak terbedakan” dari aktivitas manusia dalam logging standar. | Sisipkan token burung canary dalam dokumen uji. Arahkan melalui agen Anda. Jika token keluar dari jaringan Anda, tahap satu gagal. | Single agent, single session. Dengan kunci API bersama (45,6% perusahaan): pergerakan lateral tak terbatas. | Terapkan logging panggilan API agen ke SIEM. Baseline pola panggilan alat normal per peran agen. Beri alarm pada panggilan keluar pertama ke endpoint yang tidak dikenali. |
| 2: Enforce | Server MCP yang terkompromi meracuni deskripsi alat (ASI04). Agen menggunakan alat yang teracuni, menuliskan muatan penyerang ke database produksi menggunakan kredensial akun layanan yang diwarisi. Lihat: pelanggaran rantai pasokan Mercor/LiteLLM April 2026. | IAM membolehkan penulisan karena agen menggunakan akun layanan bersama. Tidak ada gerbang persetujuan pada operasi tulis. Alat yang teracuni tidak dapat dibedakan dari alat bersih dalam log. Riemer menekankan, “jendela patch 72 jam” menjadi nol ketika agen secara otomatis memicu. | Daftarkan server MCP uji dengan deskripsi yang tampak tidak berbahaya tetapi teracuni. Konfirmasi bahwa mesin kebijakan Anda memblokir panggilan alat sebelum eksekusi mencapai database. Jalankan mcp-scan pada semua server yang terdaftar. | Integritas database produksi. Jika agen memegang kredensial tingkat DBA, kompromi penuh pada skema dapat terjadi. Pergerakan lateral melalui hubungan kepercayaan dengan agen downstream. | Tetapkan identitas terbatas per agen. Butuh alur kerja persetujuan untuk semua operasi tulis. Cabut setiap kunci API bersama. Jalankan mcp-scan di semua server MCP setiap minggu. |
| 3: Isolate | Agen A meluncurkan Agen B untuk menangani sub-tugas (ASI08). Agen B mewarisi izin Agen A, meningkat menjadi admin, memperbaiki kebijakan keamanan organisasi. Semua pemeriksaan identitas lolos. Sumber: CEO CrowdStrike George Kurtz, keynote RSAC 2026. | Tidak ada batas sandbox antara agen. Tanpa gerbang manusia untuk delegasi antar agen. Modifikasi kebijakan keamanan adalah tindakan valid untuk proses berwenang tingkat admin. George Kurtz mengungkapkan di RSAC 2026 bahwa agen “ingin memperbaiki suatu masalah, tidak memiliki izin, dan menghapus pembatasan itu sendiri.” | Buang agen anak dari induk yang terisolasi. Anak harus mewarisi nol izin secara default dan memerlukan persetujuan manusia yang eksplisit untuk setiap pemberian kemampuan. | Tanda tangan keamanan organisasi. Penulisan kebijakan yang nakal menonaktifkan kontrol untuk setiap agen yang mengikuti. 97% pemimpin perusahaan memperkirakan insiden material dalam waktu 12 bulan (Arkose Labs 2026). | Sandbox semua eksekusi agen. Ketidakpercayaan nol untuk delegasi antar agen: agen yang diluncurkan tidak mewarisi apa pun. Tanda tangan manusia sebelum agen modifikasi kontrol keamanan. Tombol pembunuh berdasarkan OWASP ASI10. |
Skenario serangan tahap satu dalam matriks ini bukan sekadar hipotesis. Akses alat atau data yang tidak sah menjadi ketakutan utama dalam setiap gelombang survei VentureBeat, dari 42% di Januari meningkat menjadi 50% di Maret. Grafik tren ini dan penilaian prioritas di atas 70% untuk pencegahan tindakan yang tidak sah menjadi dua sinyal paling saling memperkuat dalam seluruh dataset. Para CISO khawatir akan serangan persis yang dijelaskan dalam matriks ini dan banyak dari mereka belum menerapkan kontrol untuk mencegahnya.
Kesiapan tahap hyperscaler: amati, tegakkan, isolasi
Audit kematangan membantu mengetahui di mana program keamanan Anda berada. Pertanyaan selanjutnya adalah apakah platform cloud Anda dapat membawa Anda ke tahap dua dan tiga, atau apakah Anda sendiri yang perlu membangun kemampuan ini. Patel menegaskan, “Ini bukan hanya tentang mengotentikasi sekali dan membiarkan agen berjalan tanpa aturan.” Platform tahap tiga yang menjalankan pola implementasi tahap satu membawa risiko tahap satu.
Data VentureBeat Pulse menunjukkan adanya ketegangan struktural dalam hal ini. OpenAI memimpin penerapan keamanan AI perusahaan dengan 21% hingga 26% di tiga gelombang survei. Provider yang sama yang menciptakan risiko AI juga menjadi lapisan keamanan utama. Pola penyedia sebagai vendor keamanan terjadi juga di Azure, Google, dan AWS. Kepraktisan tanpa pembelian-bonus ini tampaknya diambil begitu saja. Apakah ini keuntungan atau titik gagal tunggal tergantung pada sejauh mana perusahaan melangkah melewati tahap satu.
| Provider | Identitas Dasar (Tahap 2) | Kontrol Penegakan (Tahap 2) | Dasar Isolasi (Tahap 3) | Celah per April 2026 |
| Microsoft Azure | Entra ID skoping untuk agen. Agen 365 memetakan agen ke pemilik. GA. | Kebijakan DLP Studio Copilot. Purview untuk pengklasifikasian output agen. GA. | Kapsul Rahasia Azure untuk beban kerja agen. Preview. Tidak ada sandbox per agen di GA. | Tidak ada verifikasi identitas antar agen. Tidak ada lapisan pemerintahan MCP. Agen 365 memantau tetapi tidak dapat memblokir panggilan alat yang sedang berlangsung. |
| Anthropic | Agen Terkelola: izin untuk setiap agen, manajemen kredensial. Beta (8 April 2026). $0,08/jam per sesi. | Izin penggunaan alat, penegakan permintaan sistem, serta pengaman bawaan. GA. | Agen Terkelola sandbox: wadah terisolasi per sesi, auditabilitas rantai eksekusi. Beta. Allianz, Asana, Rakuten, dan Sentry sedang dalam produksi. | Harga/Batas SLA beta belum dipublikasikan. Data sesi di DB yang dikelola oleh Anthropic (risiko kunci sesuai penelitian VentureBeat). Waktu GA belum ditentukan. |
| Google Cloud | Akun layanan Vertex AI untuk endpoint model. IAM Conditions untuk lalu lintas agen. GA. | Kontrol VPC untuk batasan jaringan agen. Model Armor untuk penyaringan permintaan/tanggapan. GA. | VM Rahasia untuk beban kerja agen. GA. Sandbox spesifik agen dalam preview. | Identitas agen dikirim sebagai akun layanan, bukan prinsip native agen. Tidak ada audit delegasi antar agen. Model Armor tidak memeriksa muatan panggilan alat. |
| OpenAI | API Pembantu: izin pemanggilan fungsi, output terstruktur. SDK Agen. GA. | Pengaman SDK Agen, validasi input/output. GA. | Sandbox SDK Agen Python. Beta (API dan default dapat berubah sebelum GA sesuai dokumen OpenAI). Sandbox TypeScript terkonfirmasi, belum dirilis. | Tidak ada federasi identitas lintas penyedia. Forensik memori agen terbatas pada lingkup sesi. Tidak ada API tombol pembunuh. Tidak ada pemeriksaan deskripsi alat MCP. |
| AWS | Logging pemanggilan model Bedrock. Kebijakan IAM untuk akses model. CloudTrail untuk panggilan API agen. GA. | Pengaman Bedrock untuk penyaringan konten. Kebijakan sumber daya Lambda untuk fungsi agen. GA. | Isolasi Lambda per fungsi agen. GA. Sandbox agen-level Bedrock dalam rencana, belum dirilis. | Tidak ada rencana kontrol agen terpadu di seluruh Bedrock + SageMaker + Lambda. Tidak ada standar identitas agen. Pengaman tidak memeriksa deskripsi alat MCP. |
Status hingga 15 April 2026. GA = umumnya tersedia. Preview/Beta = belum diperkuat untuk produksi. Kolom “Apa yang Hilang” mencerminkan analisis VentureBeat terhadap kemampuan yang didokumentasikan secara publik; celah dapat menyempit saat vendor mengirim pembaruan.
Tidak ada penyedia dalam grid ini yang menawarkan tumpukan lengkap tahap tiga saat ini. Sebagian besar perusahaan merakit solusi isolasi dari blok bangunan cloud yang ada. Itu adalah pilihan yang dapat dibenarkan jika itu adalah pilihan yang disengaja. Menunggu vendor untuk menutup celah tanpa mengakui keberadaan celah tersebut bukanlah strategi yang baik.
Grid di atas mencakup SDK Navaja hyperscaler. Segmen besar dari pembangun AI menerapkan solusi melalui kerangka orkestra open-source seperti LangChain, CrewAI, dan LlamaIndex yang sekali lagi mengabaikan IAM hyperscaler sepenuhnya. Kerangka kerja ini tidak memiliki dasar tahap dua yang dibutuhkan: Tidak ada identitas agen yang terfokus, tidak ada alur kerja persetujuan panggilan alat, dan tidak ada jejak audit bawaan. Perusahaan yang menjalankan agen melalui orkestrasi open-source perlu menambahkan lapisan penegakan dan isolasi, bukan menganggap kerangka tersebut sudah menyediakannya.
Survei VentureBeat menunjukkan ada tekanan yang jelas. Konsistensi penegakan kebijakan meningkat dari 39,5% menjadi 46% antara Januari dan Februari, menjadi kenaikan paling signifikan dari semua kriteria kemampuan. Perusahaan yang menjalankan agen di OpenAI, Anthropic, dan Azure memerlukan penegakan yang bekerja sama, niezazondekdi mana pun modelnya menjalankan tugas. Kontrol yang diberikan penyedia hanya berlaku dalam runtime penyedia tersebut. Kerangka orkestra open-source tidak menjamin penegakan apapun.
Satu argumen melawan perlunya tahap tiga juga patut dipertimbangkan. Agen ringkasan dengan akses baca saja tanpa izin tulis mungkin memang cukup berhenti di tahap satu. Kegagalan urutan yang dibahas di audit ini bukanlah tentang keberadaan monitoring. Melainkan jangkauan perusahaan yang menjalankan agen dengan akses tulis, kredensial yang dibagikan, dan delegasi antar agen yang secara keliru menganggap pengamatan sudah cukup. Untuk implementasi semacam ini, tahap satu bukanlah strategi yang efektif; ini adalah celah yang harus diperbaiki.
Allianz menunjukkan penerapan tahap tiga
Allianz, salah satu perusahaan asuransi dan manajemen aset terbesar di dunia, saat ini menjalankan Claude Managed Agents di seluruh alur kerja asuransi, dengan Claude Code diterapkan di tim teknis dan sistem logging AI yang didedikasikan untuk transparansi regulasi, sesuai pengumuman Anthropic pada 8 April. Asana, Rakuten, Sentry, dan Notion juga memproduksi versi beta yang sama. Isolasi tahap tiga, pemberian izin per agen, dan auditabilitas rantai eksekusi dapat diterapkan sekarang, bukan hanya rencana masa depan. Pertanyaan kuncinya adalah apakah perusahaan telah menyusun pekerjaan untuk memanfaatkannya.
Urutan remediasi 90 hari
Hari 1-30: Inventarisasi dan baseline. Petakan setiap agen kepada pemilik yang terdaftar. Catat semua panggilan alat. Cabut kunci API yang dibagikan. Terapkan monitoring hanya-baca pada semua lalu lintas API agen. Jalankan mcp-scan di setiap server MCP yang terdaftar. CrowdStrike mendetect lebih dari 1.800 aplikasi AI di seluruh endpoint perusahaan; inventarisasi Anda seharusnya setidaknya sama komprehensifnya. Output: registrasi agen dengan matriks izin, laporan pemindaian MCP.
Hari 31-60: Tegakkan dan skop. Tetapkan identitas terbatas untuk setiap agen. Terapkan alur kerja persetujuan panggilan alat untuk semua operasi tulis. Integrasikan log aktivitas agen ke dalam SIEM yang ada. Jalankan latihan meja: Apa yang terjadi ketika agen meluncurkan agen? Lakukan uji coba token burung canary dari matriks preskriptif. Output: set kebijakan IAM, alur kerja persetujuan, integrasi SIEM, hasil tes token canary.
Hari 61-90: Isolasi dan uji. Sandbox untuk beban kerja agen berisiko tinggi (PHI, PII, transaksi keuangan). Terapkan hak istimewa minimum per sesi. Perlu tandatangan manusia untuk delegasi antar agen. Uji batas isolasi dengan uji deteksi dari matriks. Output: lingkungan eksekusi terisolasi, laporan red-team, ringkasan risiko siap presentasi dengan peta eksposur regulasi sesuai dengan tier HIPAA dan pedoman FINRA.
Apa yang terjadi dalam 30 hari ke depan
Ketentuan pengawasan manusia dalam UU AI Uni Eropa mulai berlaku 2 Agustus 2026. Program yang tidak memiliki pemilik yang terdaftar dan kemampuan jejak eksekusi akan menghadapi penegakan, bukan hanya risiko operasional.
Agen Terkelola Claude dari Anthropic saat ini dalam beta publik dengan biaya $0,08 per jam per sesi. Waktu GA, SLA produksi, dan harga final belum diumumkan.
SDK Agen OpenAI akan menyediakan dukungan TypeScript untuk kemampuan sandbox dan harness dalam rilis mendatang, sesuai pengumuman perusahaan pada 15 April. Sandbox tahap tiga akan tersedia untuk tumpukan agen JavaScript ketika rilis ini terjadi.
Apa yang dibutuhkan urutan ini
Survei Kematangan Kepercayaan AI McKinsey 2026 menempatkan rata-rata perusahaan pada 2,3 dari 4,0 dalam model kematangan RAI, meningkat dari 2,0 di tahun 2025, tetapi masih dalam kategori tahap penegakan; hanya sepertiga dari ~500 organisasi yang disurvei melaporkan tingkat kematangan tiga atau lebih dalam hal pemerintahan. Tujuh puluh persen belum menyelesaikan transisi ke tahap tiga. Metodologi penegakan progresif ARMO memberikan gambaran bagaimana cara menjalankannya: profil perilaku saat observasi, baseline izin dalam penegakan selektif, dan hak istimewa minimum penuh setelah baseline stabil. Investasi monitoring memang tidak sia-sia. Itu adalah tahap satu dari tiga. Organisasi yang terjebak dalam data menganggapnya sebagai tujuan akhir.
Data anggaran menunjukkan batasan yang jelas. Proporsi perusahaan yang melaporkan anggaran keamanan AI yang tetap kini dua kali lipat dari 7,9% pada Januari menjadi 16% pada Februari dalam survei VentureBeat, dengan pembacaan arah Maret di angka 20%. Organisasi yang memperluas penerapan agen tanpa meningkatkan investasi keamanan hanya akan menumpuk utang keamanan dengan kecepatan mesin. Sementara itu, proporsi yang tidak memiliki alat keamanan agen sama sekali menurun dari 13% pada Januari menjadi 5% pada Maret. Ada kemajuan, tetapi satu dari dua puluh perusahaan yang menjalankan agen dalam produksi masih sama sekali tidak memiliki infrastruktur keamanan yang ditujukan untuk itu.
