—·
Tim keamanan dapat memperlakukan agentic AI sebagai kapabilitas siber istimewa dengan merancang ulang identitas, logging, sandboxing, dan bukti tata kelola.
Penerapan agentic AI kini tidak lagi terbatas pada "chatbot asisten." Begitu sebuah agen mampu menelusuri web, menjalankan alat bantu (tools), mengubah konfigurasi, atau mengambil data, perilakunya berubah dari sekadar penghasil konten menjadi kapabilitas siber yang memiliki hak akses istimewa. Itulah sebabnya panduan di Amerika Serikat kini lebih memprioritaskan penerapan yang aman dan kontrol yang dapat dibuktikan (evidenceable controls) daripada sekadar klaim keamanan model.
Tantangan operasionalnya jelas: saat agen dapat bertindak, tim pertahanan memerlukan control plane yang dapat diaudit. Bukan sekadar dokumen kebijakan tambahan, melainkan sistem yang mampu membuktikan—selama audit dan respons insiden—siapa yang memberi otorisasi atas tindakan agen, alat apa yang digunakan, di bawah batasan apa, serta bukti apa yang terlihat.
Artikel ini menerjemahkan konsep tersebut ke dalam pola implementasi yang berlandaskan pendekatan "Secure by Design" dari CISA dan Cybersecurity Framework 2.0 (CSF 2.0) dari NIST. Fokusnya terletak pada empat tanggung jawab tim pertahanan: memperketat bukti tata kelola, memperkuat jalur prompt injection dan eksfiltrasi, memperbarui penilaian keamanan vendor, serta membangun siklus operasional dari kebijakan hingga bukti nyata. Dalam prosesnya, panduan ini menggunakan katalog kerentanan yang telah dieksploitasi (KEV) dari CISA dan panduan ransomware sebagai pagar pembatas untuk menentukan seperti apa "bukti" yang efektif dalam praktik.
Agentic AI adalah perangkat lunak yang dapat merencanakan dan menjalankan tugas multi-langkah menggunakan berbagai alat dan sistem eksternal. Begitu agen menerima kredensial, ia menjadi kapabilitas siber, bukan sekadar pembuat konten. Aturan desainnya adalah: kepemilikan kontrol harus eksplisit, dapat dicabut, dan dapat diuji.
NIST CSF 2.0 membantu organisasi mengelola hasil (outcomes), bukan sekadar daftar periksa. CSF 2.0 menyoroti hasil tata kelola dan manajemen risiko di seluruh perusahaan, dengan kategori yang dipetakan ke disiplin operasional. Kerangka ini menyatakan bahwa keamanan siber dikelola melalui kebijakan, proses, dan praktik yang selaras dengan kebutuhan organisasi—persis seperti yang dibutuhkan sistem agen ketika izin dan tindakan berubah secara dinamis. (Source).
Secara praktis, sebuah control plane ditempatkan di antara agen dan dunia nyata: batasan identitas dan akses, logging dan telemetri, batasan waktu jalan (runtime constraints), serta sandboxing. Mintalah artefak bukti dari setiap lapisan sebelum agen diberikan kapabilitas yang lebih luas. Jika suatu kontrol tidak dapat menghasilkan bukti, kontrol tersebut tidak dapat dipercaya saat terjadi upaya prompt injection atau penyalahgunaan alat.
Inti masalah: Berhentilah menulis dokumen "tata kelola." Bangunlah sistem penegakan yang mampu menjawab, saat audit maupun insiden, siapa yang mengotorisasi tindakan agen, alat apa yang digunakan, di bawah batasan apa, dan dengan bukti apa.
CSF 2.0 menyusun keamanan siber berdasarkan fungsi dan hasil. Nilai tambah CSF 2.0 bagi agentic AI terletak pada kemampuannya menghubungkan tujuan risiko dan tata kelola dengan kapabilitas operasional serta pengukurannya. NIST merilis CSF 2.0 sebagai pembaruan penting dan menerbitkan teks kerangka kerja inti serta materi pendukungnya. (Source) (Source).
Agentic AI mematahkan asumsi lazim bahwa "manusia bertindak, sistem mencatat." Dalam agentic AI, sistemlah yang bertindak—dan ia tetap harus beroperasi di bawah pagar pembatas ala manusia. Petakan ekspektasi tata kelola dan manajemen risiko CSF 2.0 ke dalam empat area kontrol operasional:
Identitas dan otorisasi untuk tindakan agen
Pisahkan identitas agen berdasarkan kapabilitasnya (contoh: "triage tiket," "tinjauan kode," "perubahan konfigurasi produksi") dan terapkan prinsip hak akses paling rendah (least privilege). Jika agen dapat menulis ke produksi, ia harus melakukannya melalui akun otomatisasi yang memiliki cakupan ketat dan persetujuan.
Logging dan deteksi
Perlakukan perilaku agen sebagai peristiwa yang relevan dengan keamanan. Catat pemanggilan alat, akses data, input prompt (dengan penyensoran jika perlu), dan artefak penalaran yang dapat disimpan dengan aman.
Manajemen kerentanan dan kesiapan eksploitasi
Agen berinteraksi dengan antarmuka web, API internal, dan alat pihak ketiga. Permukaan tersebut harus dipantau terhadap kerentanan yang diketahui telah dieksploitasi dan diprioritaskan untuk ditambal.
Kesiapan insiden dan ketahanan terhadap ransomware
Agen dapat mempercepat proses bisnis, tetapi juga dapat mempercepat kerusakan jika dikompromikan. Playbook ransomware harus secara eksplisit mencakup kredensial agen, token otomatisasi, dan akses alat.
Sumber daya Secure by Design dari CISA menekankan peralihan dari keamanan ad-hoc ke pengamanan sejak tahap desain dan pengembangan. Pesan intinya selaras dengan keamanan agen: hilangkan kelas kerentanan dan kurangi radius ledakan dengan membatasi perilaku berisiko. (Source).
Inti masalah: Buat pemetaan CSF 2.0 yang mengikat setiap kapabilitas agen ke kontrol yang dapat diuji: batasan least-privilege, batasan telemetri, batasan penambalan (kerentanan yang diketahui), dan batasan penahanan ransomware.
Prompt injection terjadi ketika instruksi berbahaya disisipkan ke dalam teks atau konten yang diambil agar agen mengikuti perintah penyerang. Dalam sistem agen, "permukaan serangan" bukan hanya modelnya, melainkan seluruh pipa pengambilan data dan pemanggilan alat: konten apa yang dilihat agen, apa yang dipercayainya, dan bagaimana ia memutuskan untuk bertindak.
Secure by Design membantu dengan berfokus pada penghilangan kelas kerentanan. CISA juga menerbitkan panduan konkret mengenai penghilangan kategori kerentanan web, seperti peringatan untuk mengatasi kerentanan Cross-Site Scripting (XSS). Meskipun XSS bukan prompt injection, pola rekayasanya sama: cegah input yang tidak aman menjadi eksekusi yang tidak aman sejak desain. (Source).
Terapkan pola tersebut ke dalam kontrol ketahanan prompt injection:
Penanganan konten yang tidak tepercaya. Perlakukan konten yang diambil atau diberikan pengguna sebagai data tidak tepercaya dan tegakkan pemisahan di batas kerangka kerja. Wajibkan runtime agen untuk menandai setiap potongan konten dengan label asal (misalnya, user_input, retrieved_doc, webpage_text) dan arahkan "instruksi" melalui gerbang kebijakan. Kontrol produksi yang praktis: izinkan model hanya untuk mengusulkan pemanggilan alat; larang model memformat "arahan sistem" atau "penggantian kebijakan" yang dapat mengubah keputusan otorisasi secara langsung.
Pengaturan tindakan (Action gating). Meskipun agen "memutuskan," wajibkan pemeriksaan tahap kedua yang dievaluasi di luar konteks model. Layanan persetujuan harus memvalidasi (a) kapabilitas (set izin mana yang boleh digunakan agen), (b) tujuan (sumber daya atau endpoint yang tepat), dan (c) klasifikasi data (apa yang boleh dibaca atau diekspor). Hindari pencocokan berbasis string—gunakan skema pemanggilan alat terstruktur agar gerbang dapat membandingkan bidang yang dinormalisasi (ID sumber daya, jenis operasi, lingkungan, cakupan data).
Eksekusi alat dalam sandbox. Jalankan alat berisiko tinggi dalam konteks eksekusi terbatas (batas keluar jaringan, batasan sistem berkas, timeout, dan pemisahan baca/tulis). Instrumentasikan sandbox untuk menghasilkan bukti bahwa (1) hanya domain yang disetujui yang dapat diakses, (2) penulisan ke direktori sensitif gagal, dan (3) volume data keluar tetap di bawah ambang batas yang dikonfigurasi. Jika batasan ini tidak dapat ditegakkan, anggap alat tersebut "di luar kebijakan" dan jangan berikan kepada agen yang beroperasi di produksi.
Gesekan eksfiltrasi. Batasi apa yang dapat dikembalikan agen dan bagaimana agen dapat mengekspor data. Terapkan anggaran respons (jumlah token atau byte maksimum) untuk kategori sensitif dan wajibkan ekspor massal melalui alur kerja pencegahan kehilangan data yang memerlukan persetujuan tujuan. Buktinya bersifat operasional: log harus menunjukkan kapan suatu permintaan diturunkan tingkatannya, diblokir, atau dialihkan ke antrean ekspor yang disetujui.
Inti masalah: Bangun "penanganan konten tidak tepercaya" dan "pengaturan tindakan" sebagai komponen utama arsitektur agen Anda. Tujuannya bukan untuk mencegah setiap upaya injeksi, melainkan memastikan injeksi yang berhasil tidak berubah menjadi eksekusi alat istimewa atau eksfiltrasi data yang tidak terkendali.
Agentic AI memperbaiki jumlah sistem yang disentuhnya—endpoint alat, peramban, layanan internal, dan backend otomatisasi. Program yang matang memprioritaskan kerentanan yang diketahui telah dieksploitasi (Known Exploited Vulnerabilities/KEV) dan mempercepat remediasi.
CISA mengelola Katalog KEV yang mengidentifikasi kerentanan yang sedang dieksploitasi di dunia nyata. (Source). Terapkan KEV untuk agentic AI melalui dua cara:
Prompt injection sering bertindak sebagai pemicu. Penyerang masih membutuhkan cara untuk menimbulkan bahaya: dependensi yang rentan, kesalahan konfigurasi, atau perilaku alat yang tidak aman. Penambalan yang berfokus pada KEV mengurangi jumlah jalur andal dari "manipulasi agen" ke "dampak agen."
Inti masalah: Perlakukan remediasi KEV sebagai kriteria gerbang untuk akses alat agen. Jika komponen rantai alat tetap rentan terhadap item KEV tanpa kontrol kompensasi yang terdokumentasi, blokir agen dari penggunaan alat tersebut di produksi.
Ransomware adalah ancaman operasional yang persisten. Sistem agentic AI dapat memperbesar dampak ransomware dengan tiga cara: menyebarkan perubahan operasional yang melemahkan pertahanan, mempercepat akses lateral jika memegang token luas, dan mengotomatisasi pengumpulan data sensitif sebelum enkripsi.
Panduan Stop Ransomware dari CISA menekankan pengurangan kemungkinan penyerang mencapai hasil ransomware dengan memperkuat pemulihan, membatasi hak akses, serta memperbaiki deteksi dan respons. Masukkan identitas agen, akun otomatisasi, dan kredensial alat ke dalam setiap latihan simulasi (tabletop exercise) ransomware dan runbook respons insiden.
Inti masalah: Tambahkan kredensial agen, token otomatisasi, dan pola pemanggilan alat ke dalam playbook insiden ransomware Anda. Selama simulasi, paksa tim untuk mencabut izin agen dengan cepat dan memulihkan layanan dengan aman tanpa perlu membangun ulang sistem sepenuhnya.
Sebagian besar penilaian vendor berfokus pada produk: ketahanan model, pemindaian kerentanan, dan pengembangan yang aman. Untuk penerapan agen, nilailah tidak hanya apa yang dikirimkan vendor, tetapi bagaimana agen berperilaku saat diintegrasikan ke lingkungan Anda.
Pendekatan praktisnya adalah menuntut bukti bahwa komponen vendor mendukung control plane Anda:
Inti masalah: Perbarui kuesioner vendor dan kriteria penerimaan untuk menuntut bukti control plane: auditabilitas tindakan alat, kapabilitas isolasi, dan postur kerentanan yang dapat Anda selaraskan dengan alur kerja remediasi KEV.
"Bukti tata kelola" sering kali hanya menjadi artefak untuk auditor. Tata kelola agentic AI membutuhkan siklus yang berbeda: kebijakan-ke-penegakan-ke-pengamatan, lalu bukti-ke-perbaikan.
Inti masalah: Implementasikan pipa bukti berkelanjutan untuk kontrol agen. Perlakukan ketahanan prompt injection dan pencegahan eksfiltrasi sebagai hasil kontrol yang dapat diukur, bukan sebagai tinjauan keamanan satu kali.
Kuantifikasi hanya bernilai jika didasarkan pada sumber yang dapat diverifikasi. Gunakan data dari FBI IC3 dan laporan lanskap ancaman ENISA untuk mengkalibrasi tekanan respons insiden.
Inti masalah: Bangun pertahanan agentic AI di sekitar hasil operasional yang terukur: "waktu untuk memblokir pemanggilan alat istimewa setelah injeksi," "cakupan remediasi KEV pada host alat yang dapat dijangkau," dan "kesiapan respons insiden termasuk pencabutan kredensial agen."
Penerapan agentic AI harus dilakukan secara bertahap dengan gerbang yang terukur. Mulailah dengan izin alat yang terbatas dan perluas hanya setelah siklus bukti menunjukkan ketahanan terhadap upaya prompt injection dan pencegahan eksfiltrasi yang kuat.
Berikut adalah rencana konkret yang dapat diadopsi:
Inti masalah: Pada hari ke-120, wajibkan program agentic AI untuk beroperasi dengan identitas agen least-privilege, logging pemanggilan alat yang dapat diaudit, gerbang tambalan rantai alat yang sadar KEV, dan latihan ransomware yang secara eksplisit mencakup pencabutan kredensial agen. Perlakukan control plane sebagai produk dari pekerjaan keamanan, dan Anda akan mengurangi kemungkinan otonomi agen berubah menjadi kompromi agen.