—·
Agentic AI dapat mengubah perilaku sistem saat insiden terjadi. Panduan ini menerjemahkan prinsip isolasi dan pemulihan CI Fortify menjadi kontrol praktis untuk alur kerja agen Anda.
Memberikan akses luas kepada agen berarti kesalahan kecil dapat berdampak besar. Dalam infrastruktur kritis, pertanyaan utama bagi tim keamanan agentic AI bukanlah sekadar apakah sebuah model "aman". Pertanyaannya adalah apakah lingkungan operasional tetap aman saat agen tersebut keliru, disusupi, atau salah dikonfigurasi. Inilah premis CI Fortify: rancang sistem untuk kondisi operasi yang terdegradasi dengan mengisolasi komponen dan memfasilitasi pemulihan, alih-alih hanya mengandalkan kebenaran algoritma yang berkelanjutan.
NIST juga memandang agen sebagai pergeseran yang relevan bagi keamanan. Fokus NIST pada agen mendefinisikan agentic AI sebagai sistem yang mampu mengambil tindakan, bukan sekadar menghasilkan teks, serta menekankan pengujian evaluasi dan keamanan terhadap perilaku agen dalam skala besar. (Source) Dalam praktiknya, kemampuan mengambil tindakan memperluas blast radius dari bug maupun serangan. Strategi isolation-by-design adalah kunci untuk membatasi radius dampak tersebut.
Isolasi menjadi satu-satunya pendekatan yang tetap efektif ketika komponen vendor atau cloud gagal di tengah alur kerja. Implementasi agentic AI bergantung pada alat eksternal (sistem tiket, repositori kode, job runner, sistem pesan, penyimpanan) dan jalur eksekusi jarak jauh. Ketika dependensi tersebut menurun kualitasnya, agen tanpa isolasi akan terus mencoba ulang, memperbaiki izin akses, atau melanjutkan langkah yang tidak lagi sesuai dengan status keamanan saat ini.
Intinya: Perlakukan eksekusi agentic AI layaknya otomatisasi produksi dengan berbagai failure modes, lalu integrasikan isolasi dan pemulihan ke dalam desain runtime agen sejak awal—bukan sebagai upaya darurat di akhir.
Orientasi isolasi dan pemulihan CI Fortify diterjemahkan menjadi empat kebutuhan operasional: (1) memetakan dependensi, (2) mencegah penggunaan akses berlebih oleh agen, (3) membatasi serta mencatat tindakan alat (tool actions), dan (4) menghasilkan bukti audit yang tetap valid pascapemulihan. Hal ini sejalan dengan penekanan NIST pada evaluasi agen dan risiko terkait alat: perilaku agen tidak bisa dianggap aman hanya karena modelnya "pandai menalar". Anda memerlukan kontrol di sekitar batas sistem, antarmuka alat, dan status runtime. (Source)
Pemetaan dependensi berarti membangun grafik tentang langkah agen mana yang menyentuh sistem tertentu, serta identitas dan kredensial apa yang digunakan langkah tersebut. Untuk infrastruktur kritis, ini lebih dari sekadar inventaris aset TI. Ini adalah peta "dependensi tindakan": apa yang berubah ketika agen menyelesaikan Langkah N. Misalnya, "buka tiket perubahan" mungkin memicu "dorong pipeline", yang kemudian memicu "terapkan konfigurasi", dan mungkin me-restart layanan produksi.
Inisiatif penelitian dan evaluasi keamanan agen NIST menekankan pengujian agen dalam konteks penggunaan alat yang realistis, termasuk red teaming skala besar untuk agen yang berkemampuan alat. Kebutuhan operasionalnya adalah memahami ke mana tindakan agen bermuara dan panggilan alat (tool calls) mana yang memiliki risiko penting. (Source)
Dalam model isolation-by-design, pemetaan dependensi menjadi dasar untuk pembatasan runtime. Dengan grafik dependensi, Anda dapat menentukan apa yang harus tetap dapat diakses selama peristiwa isolasi dan apa yang harus diputus tanpa mengganggu layanan OT dan layanan kritis inti.
Intinya: Sebelum memperketat izin, buat peta dependensi tindakan yang menghubungkan langkah agen dengan sistem dan kredensial konkret. Tanpa peta ini, prinsip least privilege hanyalah tebak-tebakan—dan latihan isolasi menjadi tidak terukur.
Prinsip least privilege untuk agentic AI berasal dari daftar putih alat (allowlisting) dan hak akses (entitlements), bukan sekadar peran IAM. Daftar putih berarti mengizinkan secara eksplisit serangkaian alat terbatas yang boleh dipanggil agen—seperti "baca konfigurasi saja", "buat tiket", atau "jalankan otomatisasi yang disetujui". Hak akses menentukan, per alat, apa yang boleh dilakukan agen dengan setiap alat tersebut (repositori mana, namespace mana, atau jendela perubahan mana).
Panduan NIST mengenai kerangka kerja manajemen risiko AI membahas penstrukturan manajemen risiko AI melalui aktivitas siklus hidup. Penerjemahan operasionalnya adalah memperlakukan izin alat dan hak akses sebagai bagian dari kontrol risiko agen di seluruh tahapan penerapan, pemantauan, dan tata kelola—bukan sebagai pengaturan satu kali. (Source)
Isolation-by-design mengandalkan batasan yang sama: jika agen hanya diizinkan mengambil tindakan dalam sandbox alat yang diperbolehkan, Anda mengurangi kemungkinan bahwa decision loop yang disusupi dapat menjangkau sistem yang harus tetap stabil.
Intinya: Terapkan daftar putih untuk panggilan alat agen dan tentukan hak akses per alat, sehingga "otonomi agen" tidak pernah berarti akses tak terbatas.
Least privilege sering diperlakukan sebagai model izin statis. Keamanan agentic AI memerlukan pendekatan operasional: izin harus sesuai dengan status keamanan agen saat ini dan berubah ketika mode pemulihan dimulai. Panduan NIST tentang percepatan adopsi perangkat lunak dan agen AI menyoroti perlunya proses rekayasa dan evaluasi untuk mendukung adopsi agen yang lebih aman—menegaskan bahwa kontrol runtime harus direkayasa, bukan diimprovisasi saat insiden terjadi. (Source)
Tentukan tingkat hak akses berdasarkan kekritisan langkah alur kerja, lalu buat perubahan tingkat tersebut menjadi otomatis, dapat diamati, dan dapat dibalikkan. Contoh:
Jadikan setiap tingkat sebagai kontrak yang dapat ditegakkan di tiga sumbu:
Setiap tingkat harus dipetakan ke hak akses alat yang terpisah dan konteks identitas yang berbeda. Saat isolasi dipicu, Anda secara otomatis menurunkan agen ke tingkat yang lebih rendah. Yang terpenting, bekukan konteks eksekusi yang sedang berjalan agar agen tidak dapat "menyelesaikan" pekerjaan berhak akses tinggi setelah sinyal penurunan diberikan.
Secara operasional, Anda memerlukan jalur penurunan deterministik yang terikat pada kondisi status keamanan yang dapat diidentifikasi, termasuk:
Intinya: Jangan menetapkan least privilege hanya sekali. Terapkan per tingkat langkah, paksakan penurunan otomatis pada pemicu status keamanan yang ditentukan, dan bekukan pekerjaan berhak akses tinggi yang sedang berlangsung.
Perlakukan agen sebagai aktor dengan identitasnya sendiri, terpisah dari akun operator. Operator menyetujui keputusan, tetapi agen tidak boleh mewarisi izin manusia yang luas. Ini adalah isolation-by-design karena mencegah eskalasi hak akses melalui alur kerja yang menggunakan kembali kredensial.
Materi NIST tentang "privasi dan kebijakan AI" memang berada di luar cakupan ini, namun kerangka kerja manajemen risiko AI NIST yang lebih luas tetap mendukung pemisahan identitas sebagai kontrol siklus hidup dalam sistem AI. Dalam penerapan agen, pemisahan harus mencakup pencatatan (logging) dan atribusi sehingga Anda dapat menjawab: siapa atau apa yang mengotorisasi panggilan alat tersebut?
Intinya: Terapkan identitas agen dengan ruang lingkup terpisah dan wajibkan persetujuan manusia untuk tindakan Tingkat 3 agar postur pemulihan Anda tidak bergantung pada penilaian agen yang sempurna.
Auditabilitas bukanlah pilihan untuk keamanan agentic AI di lingkungan kritis. Jika agen merencanakan, mengeksekusi, dan melakukan koreksi mandiri, Anda memerlukan bukti untuk setiap langkah: prompt dan status yang memicu panggilan alat, parameter panggilan alat, respons, dan keputusan kebijakan yang mengizinkan atau menolaknya. Bukti tersebut harus tetap valid setelah pemulihan, saat sistem mungkin telah dikembalikan ke kondisi sebelumnya (rollback) atau di-restart.
Koreksi mandiri adalah proses agen merevisi rencananya setelah menerima hasil alat atau mendeteksi kesalahan. Tanpa rantai bukti, koreksi mandiri bisa menjadi titik buta audit, karena agen mungkin mengubah tindakan berdasarkan konteks yang tidak lengkap.
Pendekatan operasionalnya adalah merekam:
Intinya: Rancang rantai log dan bukti Anda di sekitar panggilan alat dan gerbang kebijakan, karena itulah yang dapat Anda verifikasi ketika "koreksi mandiri" agen justru perlu dipertanyakan oleh operator.
Kerangka kerja orkestrasi agen mengoordinasikan perencanaan, penggunaan alat, dan eksekusi langkah di berbagai layanan. Dalam istilah keamanan, orkestrasi adalah tempat di mana batas kepercayaan paling mudah ditembus karena berada di antara model dan alat. Panduan adopsi agen NIST menekankan praktik rekayasa untuk adopsi yang aman, yang diterjemahkan menjadi kontrol orkestrasi: gerbang kebijakan pada lapisan orkestrasi, hak akses yang ditegakkan per langkah, dan penangkapan bukti lengkap untuk tindakan alat. (Source)
Anda tidak perlu mengadopsi kerangka kerja vendor tertentu untuk menerapkan pola desain ini. Kontrol yang diperlukan bersifat struktural:
Lapisan orkestrasi harus membatasi "koreksi mandiri". Jika model mengusulkan alat baru atau ruang lingkup yang diperluas, orkestrasi harus menolak sampai pembaruan kebijakan yang disetujui manusia diterapkan—atau sampai agen secara eksplisit diturunkan ke tingkat observasi.
Untuk menjaga respons insiden tetap praktis, instrumentasi harus membuat jawaban ini tersedia dalam waktu kurang dari satu menit:
Intinya: Rancang orkestrasi agar agen tidak dapat memperluas hak aksesnya sendiri. Jadikan isolasi sebagai status kelas satu dalam state machine orkestrator Anda, dan letakkan gerbang audit pada batas alat.
Keamanan agentic AI sedang beralih dari "eksperimen penggunaan alat" ke penerapan perusahaan. Itulah sebabnya isolation-by-design harus dioperasionalkan sebagai kontrol berulang, bukan penilaian satu kali.
Jadwal realistis mulai sekarang (07-05-2026):
Jika Anda mengelola penerapan agen dalam atau di sekitar layanan kritis, wajibkan artefak operasional konkret: publikasikan "buku panduan isolasi agen" yang mendefinisikan (a) tingkat langkah mana yang diturunkan selama isolasi, (b) daftar putih alat mana yang tetap tersedia, dan (c) bukti audit apa yang harus ada untuk menutup insiden. Ikat persetujuan untuk perluasan hak akses ke alur kerja kontrol perubahan dengan tinjauan manusia.
Jika Anda menginginkan aturan sederhana untuk menjaga tim tetap selaras: perlakukan otonomi agentic AI layaknya hak istimewa yang menyusut selama isolasi, dan wajibkan rantai bukti yang membuktikannya.