Selama bertahun-tahun, tim keamanan membangun program mereka berdasarkan premis sederhana yaitu jika Anda mengontrol identitas, Anda dapat mengontrol risiko. Karyawan mengautentikasi melalui penyedia identitas. Akun layanan menghubungkan sistem. Kunci API memungkinkan beban kerja berkomunikasi dengan layanan cloud dan database.
Para aktornya sangat mudah ditebak. Hasilnya, model keamanan identitas dan tata kelola mengikuti prediktabilitas tersebut. Sekarang, premis ini telah dilanggar.
Agen AI memasuki perusahaan secara diam-diam, merangkum rapat, menyusun email, dan membantu karyawan menemukan informasi. Kebanyakan tim keamanan tidak berpikir keras tentang hal itu pada awalnya. Mereka tampak seperti alat produktivitas, karena memang itulah alatnya.
Kemudian, organisasi mulai menghubungkan mereka ke layanan bisnis penting seperti Salesforce, Snowflake, GitHub, Jira, database produksi, dan lingkungan cloud. Kini, mereka mengambil informasi, memicu alur kerja, memperbarui catatan, menulis dan menerapkan kode, serta mengambil tindakan di berbagai sistem.
Terkadang atas nama manusia, terkadang secara mandiri, dan terkadang dengan cara yang tidak jelas yang mana.
Hal ini menjadikan agen AI lebih dari sekadar alat. Hal ini membuat mereka menjadi identitas dan sebagian besar perusahaan tidak memiliki model keamanan dan tata kelola untuk mereka.
Polanya konsisten di seluruh organisasi. Lapisan identitas baru dibangun di atas infrastruktur yang ada dengan hampir tidak ada kontrol yang diterapkan oleh tim identitas selama dekade terakhir. Agen mungkin dibuat oleh satu tim, digunakan oleh tim lain, terhubung ke lima aplikasi berbeda, dan berjalan pada kredensial yang disediakan untuk tujuan yang sama sekali berbeda.
Ini mendapat akses luas sejak awal karena seseorang membutuhkannya untuk berfungsi dan tidak ingin memperlambat segalanya. Hasilnya adalah banyaknya aktor dengan hak istimewa tinggi dan visibilitas rendah yang tidak dapat diinventarisasi oleh sebagian besar tim keamanan, apalagi diatur.
Menurut a Survei CSA 2026 ditugaskan oleh kami di sini di Token Security, 82% organisasi menemukan setidaknya satu agen AI yang dibuat tanpa sepengetahuan tim keamanan, TI, atau tata kelola dalam satu tahun terakhir, dan 41% menemukan hal ini terjadi berkali-kali.
Di sinilah pembicaraan mengenai keamanan menjadi menyimpang. Sebagian besar perhatian pada keamanan AI tertuju pada risiko model, seperti injeksi cepat, jailbreak, dan keluaran yang tidak aman. Meskipun semua ini merupakan bagian penting dari ekosistem AI agen, hal-hal tersebut tidak memberikan gambaran lengkap yang dibutuhkan tim keamanan perusahaan. Bagian terpenting yang mereka perlukan harus menjawab apa yang sebenarnya bisa diakses oleh agen?
Agen yang merangkum dokumentasi publik memiliki radius ledakan yang terbatas. Agen yang terhubung ke catatan pelanggan, kode sumber, sistem keuangan, dan kredensial cloud tingkat admin adalah masalah yang sama sekali berbeda.
Prompt yang buruk, sesi yang disusupi, plugin berbahaya, atau integrasi yang salah dikonfigurasi dapat mengubah agen yang memiliki hak istimewa menjadi jalur eksfiltrasi data, tindakan destruktif, atau pergerakan lateral melalui sistem yang tidak pernah dimaksudkan untuk terhubung.
Hal ini tidak lagi bersifat teoritis, 65% organisasi mengalami insiden keamanan yang melibatkan agen AI dalam satu tahun terakhir, dan 61% melaporkan adanya paparan atau kesalahan penanganan data sensitif sebagai dampaknya (sumber).
Mendapatkan kendali dimulai dengan visibilitas. Tim keamanan memerlukan penemuan dan inventaris agen AI yang lebih dari sekadar nama dan platform untuk menjawab pertanyaan yang benar-benar penting.
Siapa pemilik agen ini? Siapa yang dapat memintanya? Sistem apa yang terhubung dengannya? Kredensial apa yang digunakannya? Apa yang bisa dibaca, ditulis, dihapus, atau dijalankan di setiap aplikasi target?
Ini lebih sulit daripada kedengarannya, karena permukaannya tidak terlihat jelas. Tim keamanan mungkin mengetahui bahwa asisten penjualan ada di platform AI tanpa mengetahui bahwa asisten penjualan tersebut berjalan pada akun layanan Snowflake dengan hak istimewa admin. Mereka mungkin mengetahui agen pengkodean diinstal pada titik akhir pengembang tanpa mengetahui rahasia, repositori, dan saluran CI/CD mana yang dapat dijangkau.
Agen itu sendiri hanyalah sebagian dari gambarannya. Segala sesuatu yang dapat disentuh oleh identitas agen adalah permukaan paparan yang sebenarnya.
Bagian kedua adalah tujuan. Keamanan dan tata kelola tidak bisa sepenuhnya berbasis izin pada agen AI. Itu harus memperhitungkan niat agen. Agen persiapan penjualan hanya memerlukan akses baca ke catatan CRM. Tidak perlu menghapus tabel database.
Agen alur kerja keuangan hanya boleh membaca faktur. Seharusnya tidak dapat membuat pengguna istimewa baru. Saat Anda memahami apa yang seharusnya dilakukan agen, Anda dapat mengevaluasi apakah izinnya sesuai dengan cakupan tersebut. Dan, dalam praktiknya saat ini, hal tersebut jarang terjadi dan kesenjangan itulah yang menjadi sumber risiko nyata dan semakin melebar seiring berjalannya waktu penyimpangan kebijakan hak istimewa paling sedikit.
Ketika niatnya dipahami, penegakan hukum menjadi mungkin dilakukan. Izin dapat dipangkas agar sesuai dengan tujuan sebenarnya agen, akun layanan yang memiliki hak istimewa dapat dipulihkan, kredensial yang tidak digunakan dirotasi atau dihapus, dan koneksi berisiko tertangkap sebelum berubah menjadi insiden.
Bagian yang membuat sebagian besar tim tersandung adalah bahwa semua ini bukanlah latihan satu kali. Tinjauan akses atau audit mungkin terasa seperti kemajuan, namun hal tersebut hanya memberikan kotak centang pada waktu tertentu dan rasa aman yang palsu. Alasannya adalah perubahan agen, pembaruan instruksi, pergeseran basis pengguna, dan perluasan integrasi.
Agen yang dimulai sebagai alat internal yang sempit dapat secara diam-diam terhubung ke sistem yang tidak pernah dirancang untuk disentuh, bukan karena siapa pun membuat keputusan yang buruk, tetapi karena tidak ada yang mengawasi ketika ruang lingkupnya merayap.
Itu sebabnya pemerintahan harus berkelanjutan untuk menangkap agen yang mulai mengakses aplikasi di luar pola normalnya, menggunakan kredensial yang tidak terduga, atau mengambil tindakan yang tidak sesuai dengan tujuan yang ditetapkan.
Perusahaan yang sukses dengan AI tidak akan memblokir agen sepenuhnya. Merekalah yang akan menjadikan agen mudah diatur dan mendorong inovasi AI yang aman. Ini berarti memperlakukan mereka sebagai identitas kelas satu dengan pemilik, akses, perilaku, risiko, dan kontrol siklus hidup.
Agen AI menjadi orang dalam yang memiliki hak istimewa. Program keamanan dan identitas kini harus mengejar ketinggalan sebelum orang dalam tersebut menjadi jalur serangan yang tidak terlihat.
Kami ingin menunjukkan kepada Anda bagaimana kami mengatasi hal ini di Token Security, pesan demo untuk mengobrol dengan tim teknis kami sehingga Anda dapat melakukan penskalaan tanpa mengorbankan keselamatan.
Disponsori dan ditulis oleh Keamanan Token.
