Agen kecerdasan buatan menjadi masalah identitas baru bagi tim keamanan perusahaan
Agen kecerdasan buatan memperluas permukaan serangan
Selama bertahun-tahun, tim keamanan beroperasi dengan asumsi sederhana: jika mereka mengendalikan identitas, mereka dapat mengendalikan risiko. Karyawan melakukan autentikasi melalui penyedia identitas. Akun layanan menghubungkan sistem. Kunci API memungkinkan beban kerja berkomunikasi dengan layanan cloud dan database.
Model itu kini mendapat tekanan saat agen kecerdasan buatan bergerak dari alat bantu produktivitas menjadi aktor yang memiliki akses ke sistem inti bisnis. Apa yang awalnya berupa alat untuk merangkum rapat, menyusun email dan membantu pekerja menemukan informasi semakin terhubung ke Salesforce, Snowflake, GitHub, Jira, database produksi dan lingkungan cloud.
Setelah terhubung, agen-agen ini dapat mengambil informasi, memicu alur kerja, memperbarui catatan, menulis dan menerapkan kode, serta melakukan tindakan di berbagai sistem. Kadang mereka bertindak atas nama manusia. Kadang mereka bertindak secara otonom. Kadang, organisasi mungkin tidak bisa membedakannya.
Lapisan identitas baru dengan pengawasan yang minim
Tantangan keamanan bukan hanya apa yang dapat dikatakan model kecerdasan buatan, tetapi apa yang dapat dijangkau oleh agen-agen itu. Dalam lingkungan perusahaan, mereka pada dasarnya menjadi identitas — dan sebagian besar organisasi tidak memiliki model keamanan dan tata kelola yang dibuat untuk mereka.
Polanya, menurut penelitian, sudah familiar: sebuah lapisan identitas baru dibangun di atas infrastruktur yang ada dengan sedikit kontrol yang telah dibangun tim identitas selama bertahun-tahun. Sebuah agen mungkin dibuat oleh satu tim, digunakan oleh tim lain, terhubung ke beberapa aplikasi dan berjalan dengan kredensial yang awalnya disediakan untuk tujuan yang berbeda.
Karena tim sering menginginkan sistem ini bekerja cepat, akses luas dapat diberikan sejak awal. Akibatnya adalah penyebaran aktor ber-privilege tinggi dengan visibilitas rendah yang mungkin bahkan tidak dapat diinventarisasi oleh tim keamanan, apalagi diatur.
Survei menunjukkan banyak titik buta
Lindungi privasi Anda dengan Doppler VPN
Uji coba gratis 3 hari. Tanpa registrasi. Tanpa log.
Survei CSA 2026 yang dipesan oleh Token Security menemukan bahwa 82% organisasi menemukan setidaknya satu agen kecerdasan buatan dibuat tanpa sepengetahuan tim keamanan, TI atau tata kelola dalam setahun terakhir. Empat puluh satu persen mengatakan hal itu terjadi berkali-kali.
Temuan itu menekankan betapa cepatnya sistem beragen bisa melampaui kontrol manajemen identitas dan akses tradisional. Agen kecerdasan buatan dapat membuat, menggunakan dan merotasi identitas dalam kecepatan mesin, meninggalkan program manajemen identitas dan akses konvensional kesulitan untuk mengikuti.
Hasilnya adalah pergeseran dalam percakapan keamanan. Sementara sebagian besar perhatian pada kecerdasan buatan berfokus pada risiko model seperti injeksi prompt, jailbreak dan output yang tidak aman, pertanyaan perusahaan yang lebih mendesak mungkin lebih sederhana: apa yang sebenarnya dapat diakses agen itu?
Sumber:
Baca lebih banyak berita teknologi di Doppler VPN Blog.