JAKARTA (IndoTelko) - Pengadopsian Agentic AI yang kian pesat di kawasan Asia Pasifik (APAC) telah menciptakan blind spot yang sangat krusial dalam keamanan digital: API (application programming interface) yang tidak aman.
Temuan ini diungkap dalam laporan terbaru F5 bertajuk 2025 Strategic Imperatives: Securing APIs for the Age of Agentic AI in APAC, yang mengulas bagaimana pertumbuhan adopsi AI mengubah lanskap ancaman terhadap API, seiring peran API yang terus menjadi penggerak utama pengalaman digital di kawasan ini.
Tercatat lebih dari 80% organisasi di Asia Pasifik, termasuk di Indonesia, kini menggunakan API untuk mengimplementasikan model AI dan machine learning. Dari yang semula hanya berfungsi sebagai konektor data sederhana, API kini telah berkembang menjadi titik eksekusi yang krusial di mana API memungkinkan sistem Agentic AI untuk mengenali lingkungannya, mengambil keputusan, dan mengeksekusi tindakan secara otonom dengan kecepatan mesin.
Tanpa pengamanan yang kuat, izin akses yang keliru atau tata kelola yang lemah dapat memicu tindakan yang tidak diinginkan dan berpotensi merugikan dalam skala besar.
Meski menyadari tingginya risiko—dengan 63% organisasi di Asia Pasifik (dan 76% di Indonesia) menilai keamanan API sebagai aspek “sangat penting” bagi kelangsungan bisnis, kepatuhan regulasi, serta transformasi AI—tingkat implementasi nyatanya masih tertinggal jauh. Hanya 42% organisasi yang melaporkan memiliki kemampuan tata kelola API pada level matang (mature), dan hanya 22% yang memiliki tim khusus untuk keamanan API.
Hal ini berakibat penegakan keamanan API kerap tidak konsisten, dengan kesenjangan besar dalam pengawasan yang pada akhirnya meningkatkan risiko operasional dan kepatuhan. Di Indonesia, 6063% organisasi menyatakan tata kelola API mereka sudah berada di tingkat matang (mature). Namun, 3040% lainnya masih berada pada tahap awal, yang mencerminkan adanya kesenjangan struktural antara visi kepemimpinan dan kesiapan operasional. Menariknya, 51% organisasi di Indonesia telah memiliki tim khusus untuk API security.
Diungkapkan Founder dan CEO Twimbit, Manoj Menon, risetnya menunjukkan bahwa banyak organisasi di APAC belum sepenuhnya siap untuk mengamankan API dalam skala dan kecepatan adopsi AI saat ini. Sering kali mereka tidak memiliki tim khusus, pengawasannya masih belum konsisten, dan kapabilitas yang ada pun terbatas.
“Kesenjangan ini dengan cepat dapat berubah menjadi celah berbahaya di era Agentic AI. Untuk mengatasi kelemahan tersebut, diperlukan tata kelola yang lebih kuat serta kontrol menyeluruh di sepanjang siklus hidup API, guna menjaga kelangsungan bisnis, kepatuhan, dan kepercayaan,” ujarnya.
Sedangkan Chief Technology Officer untuk Asia Pasifik, China, dan Jepang di F5, Mohan Veloo, kecepatan dan tingkat otonomi agen AI menuntut agar keamanan API benar-benar menjadi fondasi utama operasional bisnis. Ini berarti tata kelola, visibilitas, serta penegakan kebijakan harus terintegrasi langsung ke dalam alur kerja API, sehingga setiap interaksi—baik oleh manusia maupun mesin—selalu terautentikasi, terotorisasi, dan terpantau secara real-time.
“Di F5, kami mendukung berbagai organisasi di kawasan ini untuk memperkuat kontrol tersebut, sehingga mereka dapat mengadopsi AI dengan penuh percaya diri tanpa harus mengorbankan resiliensi maupun agility mereka,” katanya.
Dalam laporan ini tercatat beberapa temuan penting, antara lain :
1. Kerentanan logika bisnis menjadi perhatian utama dalam keamanan API
Satu dari tiga organisasi di APAC menempatkan unrestricted access to sensitive flow (akses tak terbatas ke alur sensitif) (OWASP API6) sebagai risiko keamanan API tertinggi. Kekhawatiran lain yang menonjol mencakup unrestricted resource consumption (konsumsi sumber daya yang tidak terkendali) (OWASP API4) dan security misconfiguration (salah konfigurasi keamanan) (OWASP API8). Sementara lebih dari 30% responden juga menilai bahwa konsumsi sumber daya berlebihan serta salah konfigurasi menjadi faktor yang melemahkan kontrol di lapisan API. Jika celah-celah ini dieksploitasi, dampaknya dapat mengganggu layanan digital dan merusak kepercayaan pelanggan—menegaskan pentingnya tata kelola API yang kuat.
Di Indonesia, berdasarkan profil risikonya menunjukkan adanya perbedaan, broken authentication (32%) dan server-side request forgery (31%) menempati peringkat tertinggi sebagai risiko keamanan API terbesar, mencerminkan meningkatnya kekhawatiran terhadap vektor eksploitasi langsung. Sementara itu, unrestricted resource consumption(30%), broken object-level authorization(29%), dan function-level authorization(28%) menyoroti masih adanya kesenjangan antara tata kelola akses dan request control API yang belum sepenuhnya tertangani.
2. Shadow dan Zombie API menciptakan blind spot dalam tata kelola
Lebih dari sepertiga (36%) perusahaan (41% di Indonesia) menilai Shadow API yang tidak terdokumentasi sebagai ancaman berisiko tinggi. Namun, hanya 38% secara global (53% di Indonesia) yang memiliki proses efektif untuk mendeteksinya. API yang tidak dikelola ini, bersama dengan Zombie API yang sudah usang, menciptakan celah keamanan signifikan yang sangat rentan untuk dieksploitasi.
3. Kesiapan masih rendah, dengan tingkat kepercayaan yang terbatas terhadap risiko API utama
Meskipun banyak perusahaan di Asia Pasifik menyadari seriusnya ancaman keamanan API, kesiapan operasional mereka masih belum konsisten. Hanya 36% yang melaporkan memiliki tingkat kesiapan lanjut untuk sebagian besar risiko keamanan API OWASP, sementara 14% masih berada pada tahap awal. Banyak perusahaan masih sangat bergantung pada kontrol lama berbasis perimeter—seperti Web Application Firewall (51%) dan solusi Identity and Access Management (42%)—yang kurang sesuai untuk mengatur interaksi API yang semakin dinamis dan otonom. Ketergantungan ini menciptakan celah berbahaya di tengah percepatan adopsi AI.
Di Indonesia, tingkat kematangan terlihat beragam. Sebanyak 63% organisasi menyatakan memiliki kesiapan lanjut atau penuh di berbagai kategori ancaman. Namun, tingkat kesiapan penuh masih rendah terhadap risiko broken authentication (18%) dan unrestricted resource consumption (23%), yang menyoroti adanya kelemahan tata kelola dan kontrol di hulu yang berpotensi melemahkan pertahanan di hilir.
Dalam setahun ke depan, 69% perusahaan di Asia Pasifik (dan 84% di Indonesia) memperkirakan akan meningkatkan belanja keamanan API secara moderat hingga signifikan, menandakan bahwa API kini semakin dipandang sebagai prioritas di tingkat dewan direksi. Namun, pengawasan terpadu sangat penting untuk memastikan bahwa anggaran yang lebih besar tidak justru memicu upaya yang terfragmentasi, melainkan benar-benar memperkuat ketahanan siber.
Menjawab tantangan dari tata kelola yang dapat menghambat inisiatif transformasi AI, F5 merekomendasikan agar perusahaan berfokus pada lima imperatif strategis diantaranya :