DEVMODE Community adalah platform kreator, tech founder dan developer untuk belajar, berdiskusi, dan berkarya di dunia digital.
Menurut laporan mendalam dari TechCrunch, keamanan kecerdasan buatan (AI) telah menjadi perhatian serius di kalangan perusahaan teknologi global pada tahun 2026. Francis de Souza, Chief Operating Officer Google Cloud, baru-baru ini mengakui secara terbuka bahwa bahkan Google sendiri masih dalam proses memahami dan mengamankan ekosistem AI mereka. Pernyataan yang jujur ini datang di tengah meningkatnya kekhawatiran tentang celah keamanan yang dibawa oleh adopsi AI yang masif dan cepat di berbagai industri.
De Souza menekankan pentingnya pendekatan platform dalam implementasi AI di perusahaan. Menurutnya, keamanan bukanlah fitur yang bisa ditambahkan belakangan atau dianggap sebagai afterthought, melainkan fondasi yang harus dibangun sejak awal perencanaan. Ia memperingatkan fenomena yang semakin umum terjadi, yaitu shadow AI, di mana karyawan menggunakan tool AI konsumen seperti ChatGPT atau Claude tanpa pengawasan organisasi. Hal ini membuka risiko besar karena data perusahaan yang sensitif bisa bocor ke platform yang tidak diaudit, tidak memenuhi compliance, dan tidak memiliki data residency yang jelas.
Shadow AI sebenarnya merupakan evolusi dari shadow IT yang telah lama menjadi masalah. Bedanya, AI tidak hanya menyimpan data, tetapi juga memproses, menganalisis, dan dalam banyak kasus, melatih ulang model dengan data tersebut. Artinya, once your data leaves the building through an AI prompt, you might never get it back or know where it ends up. Bagi founder startup di Indonesia yang sering bekerja dengan data pengguna, ini adalah red flag yang harus ditangani sejak hari pertama.
Lanskap ancaman telah berubah secara fundamental sejak masuknya AI. De Souza mencatat bahwa waktu rata-rata antara breach awal dan serangan lanjutan telah menurun drastis dari delapan jam menjadi hanya 22 detik. Surface attack kini tidak lagi terbatas pada perimeter jaringan tradisional, tetapi juga mencakup model AI itu sendiri, data pipeline yang digunakan untuk training, agent yang berjalan otonom, dan prompt yang dimasukkan pengguna. Semua elemen ini memerlukan perlindungan yang komprehensif dan berlapis.
Salah satu ancaman yang sering diabaikan oleh perusahaan adalah kemampuan AI agent menjelajahi sistem internal perusahaan dan menemukan repositori data lama yang telah terlupakan selama bertahun-tahun. Banyak organisasi memiliki server SharePoint lawas, database legacy, atau file storage dengan kontrol akses yang tidak diperbarui. Meskipun tidak relevan atau terlupakan oleh manusia, agent AI yang memiliki akses dapat menemukan aset data ini dan mengekspos informasi sensitif yang tersimpan di dalamnya tanpa disadari.
Solusi yang ditawarkan De Souza adalah konsep AI-native, fully agentic defense. Alih-alih bertahan dengan kecepatan manusia yang lambat, organisasi perlu bertahan dengan kecepatan mesin. Konsep ini melibatkan penggunaan agent AI untuk menggerakkan pertahanan keamanan secara otonom, dengan manusia hanya berperan sebagai pengawas atau overseer. Namun, ia juga mengingatkan bahwa ini adalah isu level board dan eksekutif C-suite, bukan sekadar masalah yang bisa didelegasikan sepenuhnya ke tim keamanan.
Yang ironis dan mengkhawatirkan, Google sendiri menghadapi masalah keamanan yang serius. The Register melaporkan serangkaian kasus di mana developer Google Cloud menerima tagihan lima angka akibat panggilan API tidak sah ke model Gemini. Kunci API yang awalnya digunakan untuk layanan Google Maps dapat secara diam-diam mengakses Gemini setelah Google memperluas cakupannya tanpa pemberitahuan yang jelas kepada pengguna.
Rod Danan, CEO platform interview-prep Prentus, mengalami tagihan 10.138 dolar AS dalam waktu sekitar 30 menit setelah kunci API-nya disusupi oleh pihak tidak bertanggung jawab. Isuru Fonseka, seorang developer berbasis di Sydney, mendapat tagihan sekitar 17.000 AUD meskipun sebelumnya telah mengira telah menetapkan batas pengeluaran sebesar 250 dolar. Google kemudian mengembalikan dana mereka setelah liputan media, tetapi mengatakan tidak berencana mengubah kebijakan peningkatan billing tier secara otomatis.
Kasus lain yang lebih mengkhawatirkan datang dari penelitian firma keamanan Aikido. Mereka menemukan bahwa bahkan setelah developer segera menghapus kunci API yang telah dikompromikan, attacker masih bisa menggunakannya selama 23 menit karena propagasi revokasi berjalan secara gradual di infrastruktur Google. Dalam beberapa menit pertama, tingkat keberhasilan autentikasi masih di atas 90 persen, memberikan jendela waktu yang cukup untuk eksfiltrasi data dan pencurian informasi sensitif.
Joseph Leon dari Aikido mencatat bahwa format kredensial baru Google seperti service account API dapat direvoke dalam lima detik, dan kunci format AQ dari Gemini hanya membutuhkan waktu sekitar satu menit. Keduanya berjalan pada skala infrastruktur Google yang sama, yang menunjukkan bahwa jendela 23 menit bukanlah kendala teknis yang tidak bisa diatasi, melainkan masalah prioritas dan alokasi sumber daya perusahaan.
Lea Kissner, Chief Information Security Officer LinkedIn, memberikan perspektif tambahan yang realistis. Dalam wawancara dengan New York Times, ia memprediksi apa yang disebutnya bug-pocalypse atau ledakan jumlah bug yang harus ditangani. Menurutnya, industri tidak akan benar-benar memahami keamanan AI secara berkelanjutan dalam jangka panjang selama beberapa tahun ke depan. Ia tidak berharap ada solusi sustainable dalam waktu dekat.
Bagi para developer dan founder di Indonesia, ada beberapa takeaway praktis. Pertama, jangan pernah menganggap keamanan AI sebagai fitur sekunder. Kedua, audit semua API key dan credential secara berkala, terutama yang dideploy di environment publik. Ketiga, pahami bahwa AI agent akan menemukan aset data yang bahkan Anda lupakan keberadaannya. Keempat, pertimbangkan untuk mengimplementasikan defense-in-depth yang mencakup monitoring real-time dan automated response. Dunia sudah bergerak ke arah agentic security, dan kita perlu mengikutinya sebelum terlambat.
Meskipun demikian, pesan utama De Souza tetap relevan dan penting. Organisasi harus mengadopsi pendekatan platform untuk keamanan AI, mengintegrasikan strategi data dan keamanan sejak awal, dan mempersiapkan transisi menuju pertahanan yang sepenuhnya agentik. Kita memang sedang menjalani periode transisi yang penuh ketidakpastian, tetapi dengan kesadaran, edukasi, dan investasi yang tepat, kita bisa sampai ke tempat yang lebih aman dan lebih baik.
Punya Produk Keren? Showcase Sekarang!
Dapatkan feedback, users, dan eksposur dari komunitas kreator, developer, dan entrepreneur digital Indonesia.
Submit Produk → Pelajari Dulu