Kaspersky bagikan strategi kelola risiko agen AI di perusahaan

JAKARTA (IndoTelko) - Pemanfaatan agen kecerdasan buatan (AI) di lingkungan organisasi menghadirkan peluang besar, namun juga membawa risiko baru yang tidak bisa diabaikan. Agen AI yang mampu bertindak secara otonom, mengambil keputusan, dan mengakses data sensitif dinilai dapat menimbulkan dampak serius apabila tidak dikelola dengan tata kelola dan pengamanan yang memadai.

Kaspersky menilai isu pengamanan agen AI kini bukan lagi bersifat teoritis. Kesalahan atau penyalahgunaan AI otonom berpotensi memicu gangguan layanan, kebocoran data, hingga kerusakan sistem inti perusahaan. Kondisi ini menjadi perhatian utama bagi pimpinan TI dan keamanan, mengingat banyak alat keamanan konvensional belum dirancang untuk mengendalikan agen AI secara menyeluruh.

Menurut Kaspersky, pendekatan pengamanan agen AI perlu mengadopsi prinsip kontrol ketat yang mendekati strategi Zero Trust. Meskipun keamanan sempurna sulit dicapai akibat sifat probabilistik model bahasa besar (LLM), penerapan kontrol berlapis diyakini dapat membatasi dampak ketika terjadi kegagalan.

Sejumlah langkah direkomendasikan Kaspersky untuk memitigasi risiko keamanan siber dari penggunaan agen AI. Salah satunya adalah menerapkan prinsip hak akses dan otonomi minimal, dengan membatasi tugas agen AI serta aksesnya hanya pada data, alat, dan API yang benar-benar diperlukan. Penggunaan izin baca saja juga disarankan jika memungkinkan.

Kaspersky juga menekankan pentingnya penggunaan kredensial berumur pendek, seperti token dan kunci API sementara dengan cakupan terbatas, guna mencegah penyalahgunaan akses apabila agen berhasil disusupi. Untuk aktivitas berisiko tinggi, seperti transfer dana atau penghapusan data dalam skala besar, keterlibatan manusia tetap harus menjadi persyaratan wajib.

Langkah lainnya mencakup isolasi eksekusi agen di lingkungan terkontainerisasi atau sandbox, penerapan kebijakan keamanan sebelum agen beroperasi, serta validasi dan sanitasi menyeluruh terhadap input dan output guna mencegah injeksi dan konten berbahaya. Seluruh aktivitas agen juga perlu dicatat dalam log yang aman dan tidak dapat diubah untuk kebutuhan audit dan investigasi forensik.

Kaspersky merekomendasikan penerapan pemantauan perilaku otomatis untuk mendeteksi anomali, seperti lonjakan panggilan API atau penyimpangan tujuan agen. Organisasi yang telah mengadopsi XDR dan SIEM dinilai memiliki keunggulan dalam mengendalikan agen AI karena kemampuan analitik dan korelasi data yang lebih matang.

Pengamanan rantai pasokan perangkat lunak juga menjadi perhatian, termasuk penggunaan model dan alat dari sumber tepercaya serta penerapan software bill of materials (SBOM). Selain itu, setiap kode yang dihasilkan agen AI disarankan melalui analisis statis dan dinamis sebelum dijalankan, dengan pelarangan fungsi berisiko tinggi seperti eval.

Aspek lain yang tak kalah penting adalah pengamanan komunikasi antar agen melalui autentikasi dan enkripsi, penyediaan kill switch untuk menghentikan agen saat terdeteksi perilaku anomali, serta penggunaan antarmuka visual guna membantu pengguna mengkalibrasi tingkat kepercayaan terhadap AI.

Terakhir, Kaspersky menegaskan pentingnya pelatihan berkelanjutan bagi karyawan terkait risiko dan realitas operasional sistem berbasis AI. Mengingat pesatnya perkembangan teknologi ini, pelatihan dinilai perlu diperbarui beberapa kali dalam setahun agar tetap relevan dengan ancaman terbaru. (mas)