Adopsi Kecerdasan Buatan (AI) dan komputasi awan (cloud) telah memicu kecepatan rekayasa (engineering velocity) yang luar biasa. Namun, laporan terbaru dari perusahaan manajemen eksposur Tenable mengungkap realitas yang menakutkan: kecepatan inovasi ini telah melampaui kemampuan manusia untuk menilai, memprioritaskan, dan menambal celah keamanan.

Fenomena ini melahirkan apa yang disebut Tenable sebagai Celah Eksposur AI Tanpa Margin (Zero-Margin AI Exposure Gap). Organisasi kini mewarisi risiko siber jauh lebih cepat daripada kemampuan mereka menanganinya, menciptakan titik buta (blind spot) masif di seluruh aplikasi, infrastruktur, identitas, dan data.

Baca Juga: Laporan Palo Alto: Keamanan Siber Kini Prioritas Nasional, AI Menjadi "Pedang Bermata Dua"

Empat Temuan Kritis Laporan Tenable 2026:

Berdasarkan analisis telemetri dari April hingga Desember 2025, Tenable menyoroti empat area risiko utama yang menuntut perhatian segera dari para eksekutif:

1. Rantai Pasok Beracun (Kode Pihak Ketiga) Ekosistem AI sangat bergantung pada komponen eksternal. Laporan mencatat 70% organisasi telah mengintegrasikan setidaknya satu paket pihak ketiga AI atau Model Context Protocol(MCP). Celakanya, 86% dari organisasi tersebut meng-hosting kode yang mengandung kerentanan tingkat kritis. Bahkan, 13% secara tidak sadar menyebarkan paket yang memiliki rekam jejak pernah disusupi worm berbahaya seperti s1ngularity atau Shai-Hulud.
2. Ancaman Identitas Non-Manusia (NHI) Di era AI, mesin berbicara dengan mesin. Agen AI dan akun layanan (service accounts) kini menimbulkan risiko yang jauh lebih tinggi (52%) dibandingkan pengguna manusia biasa (37%). Sebanyak 18% organisasi bahkan memberikan hak akses administratif kepada layanan AI tanpa proses audit yang memadai, menciptakan karpet merah bagi peretas untuk mengeksploitasi sistem secara otonom.
3. Bahaya Kredensial "Hantu" (Ghost Secrets) Infrastruktur cloud dipenuhi oleh kunci akses yang terlupakan. 65%organisasi menyimpan kredensial cloud yang tidak pernah digunakan atau dirotasi (ghost secrets), di mana 17% di antaranya terikat pada hak istimewa administratif tingkat tinggi.
4. Hak Akses Dorman yang Berlebihan Hampir separuh (49%) dari identitas yang memegang izin berlebihan tingkat kritis ternyata berstatus dorman (pasif). Identitas "tidur" ini sangat berbahaya karena jika diambil alih oleh peretas, eksploitasinya bisa berminggu-minggu tidak terdeteksi oleh sistem pemantauan normal.

Laporan Tenable ini mengonfirmasi perubahan fundamental dalam arsitektur keamanan: ancaman terbesar saat ini bukan lagi peretas yang membobol firewall, melainkan peretas yang menyalahgunakan kredensial AI yang sah. Liat Hayun, SVP di Tenable, dengan tepat menyatakan bahwa kurangnya visibilitas membuat tim keamanan berada di bawah belas kasihan eksposur baru.

Adapun Rekomendasi pendekatan Manajemen Eksposur Berkelanjutan (Continuous Threat Exposure Management / CTEM) yang dapat diterapkan:

1. Terapkan Least Privilege Tegas untuk AI: Perlakukan setiap asisten AI atau agen otonom layaknya kontraktor pihak ketiga. Jangan pernah memberikan hak akses administratif global (admin rights) pada Model Context Protocol (MCP). Akses harus sangat spesifik (granular) dan ditarik kembali segera setelah tugas selesai (Just-in-Time Access).
2. Pemberantasan Ghost Secrets: Organisasi harus secara agresif memindai dan menghapus kunci API, token, dan kredensial cloud yang tidak aktif lebih dari 30 hari. Rahasia statis (static secrets) harus digantikan dengan kredensial dinamis berumur pendek.
3. Transisi dari "Hutang Keamanan" ke "Risiko Bisnis": Berhenti mengukur kesuksesan keamanan dari jumlah bug yang ditambal. Identifikasi aset data paling vital Anda (Mahkota Permata), dan petakan semua jalur serangan—baik melalui kerentanan software, kesalahan konfigurasi, maupun identitas AI—yang bisa mengarah ke sana, lalu putus jalur tersebut.