Di tengah persaingan bisnis yang semakin bergantung pada kecerdasan buatan (AI) untuk meraih keunggulan kompetitif, Tenable®, perusahaan manajemen eksposur, memperingatkan bahwa banyak organisasi berisiko mengabaikan ancaman keamanan yang muncul akibat penggunaan alat open-source dan layanan cloud dalam pengembangan AI.
Menurut laporan terbaru Tenable, “Cloud AI Risk Report 2025”, laju adopsi AI jauh melebihi kesiapan keamanan yang ada, sehingga kerentanan, mis-konfigurasi cloud, dan data yang terekspos kian menumpuk di lingkungan cloud.
Surat kabar global menyebutkan bahwa pada awal 2024, 72 persen organisasi di seluruh dunia telah mengintegrasikan AI ke dalam setidaknya salah satu fungsi bisnis naiknya hingga 22 persen dibandingkan dua tahun sebelumnya.
Meskipun tren adopsi AI ini sangat positif bagi inovasi, penelitian Tenable mengungkapkan kompleksitas yang meningkat dalam mengamankan ekosistem yang terdiri dari paket open-source, perpustakaan, dan layanan cloud kelola (managed cloud services) yang mendukung beban kerja AI.
Kondisi inilah yang menjadi alarm bagi para praktisi keamanan siber, di mana setiap kemajuan teknologi harus diimbangi dengan upaya nyata dalam memperkuat sistem keamanan.
Analisis yang dilakukan Tenable Cloud Research mencakup evaluasi beban kerja cloud nyata pada Amazon Web Services (AWS), Microsoft Azure, dan Google Cloud Platform (GCP) antara Desember 2022 hingga November 2024.
Hasil analisis menunjukkan bahwa lingkungan pengembangan AI sangat bergantung pada paket-paket open-source yang sering kali diunduh dan diintegrasikan secara cepat tanpa pemeriksaan keamanan yang mendalam.
Alat-alat seperti Scikit-learn dan Ollama tercatat sebagai framework yang paling sering digunakan, muncul dalam hampir 28 persen dan 23 persen beban kerja AI secara berurutan.
Walaupun penggunaan framework tersebut mempercepat pengembangan machine learning, sifat open-source beserta rantai dependensinya turut menghadirkan risiko tersembunyi berupa celah keamanan yang rentan dieksploitasi.
Risiko tambahan muncul karena banyak beban kerja AI dijalankan pada sistem berbasis Unix yang dikenal luas karena penggunaan perpustakaan open-source. Hal ini membuka peluang bagi kerentanan yang belum diperbaiki, sehingga penyerang dapat dengan mudah mengakses data sensitif atau memanipulasi model AI.
Selain itu, penelitian Tenable mengungkapkan keterkaitan erat antara adopsi AI dan penggunaan layanan cloud kelola. Di antara organisasi yang menggunakan Microsoft Azure, 60 persen mengonfigurasi Azure Cognitive Services, 40 persen menerapkan Azure Machine Learning, dan 28 persen memanfaatkan Azure AI Bot Service.
Sementara itu, pada AWS, 25 persen pengguna mengatur Amazon SageMaker, sedangkan 20 persen menggunakan Amazon Bedrock. Di platform GCP, Vertex AI Workbench juga aktif di 20 persen lingkungan AI.
Data konfigurasi ini menegaskan bahwa meskipun teknologi AI digandrungi, sistem cloud semakin kompleks dan rentan terhadap kesalahan konfigurasi, yang jika tidak ditangani dapat membuka celah bagi serangan siber.
“Organisasi dengan cepat mengadopsi framework AI open-source dan layanan cloud untuk mendorong inovasi, namun sedikit yang menilai dampak keamanan dari penerapan tersebut. Keterbukaan dan fleksibilitas dari alat-alat ini tidak hanya mempercepat inovasi tetapi juga memberikan peluang bagi penyerang. Tanpa pengawasan yang tepat, eksposur tersembunyi dapat merusak kepercayaan terhadap hasil berbasis AI dan mengancam keunggulan kompetitif yang sedang diperjuangkan,” kata Nigel Ng, Senior Vice President di Tenable APJ dalam keterangannya, Selasa (15/4/2025).
Untuk membantu organisasi menghadapi risiko unik yang ditimbulkan oleh AI di lingkungan cloud, Tenable memberikan beberapa strategi mitigasi, antara lain:
- Kelola Eksposur AI Secara Holistik: Lakukan pemantauan terus-menerus terhadap infrastruktur cloud, beban kerja, identitas, data, dan alat AI. Dengan visibilitas kontekstual yang baik, organisasi dapat lebih cepat mengidentifikasi dan memprioritaskan langkah mitigasi risiko.
- Klasifikasikan Aset AI sebagai Data Sensitif: Sertakan model AI, dataset, dan alat pendukung dalam inventaris aset serta perlakukan sebagai target bernilai tinggi yang memerlukan pemindaian dan perlindungan secara konsisten.
- Perbarui Pengetahuan tentang Regulasi dan Best Practice AI Pemetaan penyimpanan data AI, penerapan kontrol akses ketat, dan implementasi prinsip secure-by-design sesuai dengan kerangka kerja seperti NIST AI Risk Management Framework merupakan langkah penting untuk menjaga keamanan.
- Terapkan Prinsip Least-Privilege: Lakukan peninjauan hak akses secara berkala, kurangi hak akses yang berlebihan, serta kelola identitas cloud dengan seksama agar mencegah akses yang tidak sah ke data dan model AI.
- Ikuti dan Verifikasi Rekomendasi Keamanan dari Penyedia Cloud: Sadari bahwa pengaturan default sering kali bersifat terlalu permisif. Pastikan konfigurasi telah disesuaikan dengan best practice guna menjaga keamanan lingkungan cloud.
- Prioritaskan Remediasi Kerentanan Kritis: Fokus pada penghapusan celah keamanan dengan potensi dampak tertinggi menggunakan alat canggih yang membantu mengurangi kelelahan notifikasi dan meningkatkan efisiensi proses remediasi.
“AI akan membentuk masa depan bisnis, namun hanya jika dibangun di atas fondasi keamanan yang kokoh. Alat open-source dan layanan cloud adalah komponen esensial, tetapi harus dikelola dengan penuh kehati-hatian. Tanpa visibilitas yang jelas mengenai apa yang diterapkan dan bagaimana pengaturannya, organisasi berisiko kehilangan kontrol atas lingkungan AI dan hasil yang dihasilkan oleh sistem tersebut,” tambah Nigel.
Dengan menerapkan langkah-langkah strategis tersebut, organisasi tidak hanya dapat memanfaatkan potensi penuh dari teknologi AI dan layanan cloud, tetapi juga memastikan bahwa inovasi tersebut berjalan di atas fondasi keamanan yang kokoh dan terpercaya.
