Mobitekno – Kita sudah melewati masa ketika AI hanya menjadi asisten pintar untuk menjawab pertanyaan, membuat gambar, atau menulis email. Sekarang, ada teknologi yang jauh lebih maju — sistem AI yang bisa mengambil keputusan dan bertindak secara mandiri tanpa instruksi langsung dari manusia. Istilah yang sering dipakai untuk jenis AI ini adalah Agentic AI.
Di balik kecerdasan agentic AI yang bisa proaktif dan otonom, muncul satu masalah penting yang membuat para ahli keamanan siber khawatir. Masalah ini bukan berasal dari AI-nya sendiri, tetapi dari API (Application Programming Interface) — penghubung yang digunakan AI untuk melakukan tindakan di dunia nyata.
Bayangkan AI sebagai otak yang bisa berpikir sendiri. Tanpa API, AI hanya bisa “berbicara” saja. API adalah yang membuat AI dapat bergerak, mengambil tindakan, dan mempengaruhi sistem lain. Namun sayangnya, banyak perusahaan — terutama di Indonesia dan kawasan Asia Pasifik — memiliki API yang masih rentan terhadap serangan atau salah pakai.
Ketergantungan API & Risiko Keamanan
Menurut laporan “2025 Strategic Imperatives: Securing APIs for the Age of Agentic AI in APAC” dari F5, lebih dari 80% organisasi di Asia Pasifik mengandalkan API untuk menjalankan sistem AI mereka, namun fondasi keamanannya masih lemah.
Surung Sinamo, Country Manager F5 Indonesia, menjelaskan bahwa API bukan lagi sekadar jalur pertukaran data. Sekarang API telah menjadi lapisan yang mengeksekusi perintah penting AI — misalnya memproses transaksi, memulai alur kerja, atau mengubah status operasional perusahaan tanpa campur tangan manusia.
Ancaman Shadow API dan Zombie API
Beberapa istilah baru yang perlu diperhatikan:
🔹 Shadow API — API tersembunyi atau tidak terdokumentasi yang berjalan tanpa disadari tim keamanan. Banyak perusahaan besar memiliki API ini, tetapi tidak tercatat secara resmi sehingga sulit dilacak. Hasilnya, 41% perusahaan di Indonesia menganggap Shadow API sebagai ancaman. Namun hanya 53% yang punya cara efektif untuk menemukannya.
🔹 Zombie API — API yang seharusnya sudah tidak digunakan, tetapi masih aktif dan bisa diakses dari luar. Keduanya dapat dimanfaatkan penyerang atau bahkan disalahgunakan oleh AI otonom tanpa sepengetahuan tim keamanan.
Tantangan Realitas vs Klaim Perusahaan
Banyak perusahaan merasa siap menghadapi masalah keamanan API. Surung menyebutkan, 60–63% organisasi mengklaim sudah memiliki tata kelola API yang matang, dan 51% mengatakan punya tim keamanan khusus untuk API. Namun kenyataannya, 30–40% masih berada di tahap awal implementasi, menunjukkan ada gap besar antara klaim pimpinan dan kondisi nyata di lapangan.
Serangan Siber Lebih Canggih
Serangan siber kini semakin pintar. Di Indonesia, pola serangan yang paling umum meliputi:
-
Broken authentication — manipulasi sistem otentikasi (32%)
-
Server-Side Request Forgery (SSRF) — memaksa server melakukan aksi yang tidak semestinya (31%)
Ada juga teknik baru disebut HashJack (indirect prompt injection), di mana penyerang bisa memanipulasi AI melalui URL atau input biasa sehingga AI melakukan tindakan berbahaya melalui API yang legal. Misalnya, AI bisa dipaksa melakukan transaksi tanpa sepengetahuan pengguna.
Pertahanan yang Masih Ketinggalan
Sebagian besar perusahaan masih mengandalkan sistem keamanan lama seperti Web Application Firewall (WAF), yang dirancang untuk web tradisional — bukan untuk sistem API yang dinamis dan canggih seperti sekarang ini. Ini ibarat memakai tameng kayu untuk menghadapi senapan mesin.
5 Langkah Rekomendasi F5
F5 menyarankan lima langkah strategis untuk memperkuat keamanan API:
-
Menunjuk penanggung jawab di level eksekutif.
-
Menerapkan kontrol di seluruh siklus hidup API dengan discovery otomatis.
-
Membangun observability berbasis agen untuk memantau perilaku mesin.
-
Standarisasi kebijakan sesuai OWASP.
-
Memastikan setiap API berkaitan dengan tujuan bisnis yang jelas.
F5 juga menawarkan platform lengkap bernama F5 Distributed Cloud yang mampu mendeteksi kerentanan API sejak tahap coding, memberi rekomendasi perbaikan sebelum aplikasi diluncurkan. Selain itu, integrasi AI Gateway dan guardrails dari akuisisi CalypsoAI & Fletch membantu mendeteksi prompt injection, melindungi model AI, dan mempercepat respons keamanan.
AI untuk Melawan AI
Solusi F5 bahkan memanfaatkan AI itu sendiri untuk melawan ancaman AI: sistem bisa menganalisis ribuan alert keamanan, memprioritaskan yang paling kritis, dan memberikan rekomendasi langkah perbaikan secara otomatis. Ini membantu tim keamanan yang sering kewalahan menangani volume data besar.
Intinya
AI agentic menawarkan efisiensi luar biasa dan peluang baru. Namun tanpa keamanan API yang kuat, kemampuan otonom AI justru bisa berubah menjadi ancaman besar. Perusahaan yang berhasil mengamankan API mereka akan memimpin — sementara yang lain berisiko mengalami kerugian besar.
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan F5 indonesia, merupakan bagian dari PT. iLogo Infralogy Indonesia, yang merupakan mitra terpercaya dalam solusi Infrastruktur IT dan Cybersecurity terbaik di Indonesia.
Hubungi kami sekarang atau kunjungi F5.ilogoindonesia.id untuk informasi lebih lanjut!