Tenable Peringatkan Bahwa Alat AI Open-Source Perlebar Celah Keamanan Siber

17

Get real time updates directly on you device, subscribe now.

itechmagz.id – Ketika bisnis berlomba memanfaatkan kecerdasan buatan (AI) untuk meraih keunggulan kompetitif, Tenable®, perusahaan manajemen eksposur, memperingatkan bahwa banyak organisasi mungkin mengabaikan risiko yang semakin meningkat dalam alat open-source dan layanan cloud yang menjadi fondasi pengembangan AI mereka. Riset terbaru dari Laporan Risiko Cloud AI Tenable 2025 menemukan bahwa laju adopsi AI jauh melampaui kesiapan keamanannya, dengan kerentanan, salah konfigurasi cloud, dan data yang terekspos diam-diam menumpuk di berbagai lingkungan cloud.

Lonjakan penggunaan AI tak terbantahkan. Sebuah Survei Global McKinsey menemukan bahwa 72 persen organisasi di seluruh dunia telah mengintegrasikan AI ke dalam setidaknya satu fungsi bisnis pada awal 2024, naik dari hanya 50 persen dua tahun sebelumnya. Namun, meski bisnis berfokus membangun kapabilitas AI, riset Tenable menyoroti semakin kompleksnya tantangan dan risiko dalam mengamankan ekosistem luas yang terdiri dari paket open-source, pustaka, dan layanan terkelola yang mendukung beban kerja AI.

Penelitian Cloud Tenable menganalisis beban kerja cloud nyata di Amazon Web Services (AWS), Microsoft Azure, dan Google Cloud Platform (GCP) antara Desember 2022 hingga November 2024.

Apa yang muncul adalah pola sistemik. Lingkungan pengembangan AI sangat bergantung pada paket open-source, yang sering diunduh dan diintegrasikan dengan cepat, seringkali tanpa tinjauan atau pemeriksaan keamanan yang memadai. Alat seperti Scikit-learn dan Ollama termasuk yang paling banyak digunakan, ditemukan masing-masing pada hampir 28 persen dan 23 persen dari beban kerja AI. Meskipun kerangka kerja ini mempercepat pengembangan machine learning, mereka juga membawa kerentanan tersembunyi karena sifat open-source dan rantai dependensinya.

Risiko ini diperparah dengan banyaknya beban kerja AI yang berjalan di sistem berbasis Unix, yang terkenal luas menggunakan pustaka open-source. Hal ini meningkatkan potensi kerentanan yang belum ditambal tetap ada dalam lingkungan yang dapat dieksploitasi oleh penyerang untuk mengakses data sensitif atau memanipulasi model.

Riset Tenable juga mengungkap bahwa adopsi AI sangat erat kaitannya dengan penggunaan layanan cloud terkelola, yang membawa risiko keamanan tersendiri. Di antara organisasi yang menggunakan Microsoft Azure, 60 persen telah mengonfigurasi Azure Cognitive Services, 40 persen menerapkan Azure Machine Learning, dan 28 persen menggunakan Azure AI Bot Service. Di AWS, 25 persen pengguna mengonfigurasi Amazon SageMaker, sementara 20 persen menerapkan Amazon Bedrock. Vertex AI Workbench juga aktif di 20 persen lingkungan GCP.

Tingkat konfigurasi ini menunjukkan bahwa meski kapabilitas AI diadopsi secara masif, kompleksitas dalam mengamankan lingkungan cloud juga meningkat. Konfigurasi yang tidak tepat atau izin yang berlebihan—yang sering kali diaktifkan melalui pengaturan default—membuat sistem penting dan data pelatihan AI sensitif rentan terhadap serangan.

“Organisasi dengan cepat mengadopsi kerangka kerja AI open-source dan layanan cloud untuk mempercepat inovasi, tetapi hanya sedikit yang berhenti sejenak untuk menilai dampak keamanannya,” ujar Nigel Ng, Wakil Presiden Senior Tenable untuk APJ. “Keterbukaan dan fleksibilitas yang membuat alat ini begitu kuat juga menciptakan celah bagi penyerang. Tanpa pengawasan yang tepat, eksposur tersembunyi ini dapat mengikis kepercayaan terhadap hasil AI dan mengorbankan keunggulan kompetitif yang dikejar bisnis.”

Adsense

Untuk membantu organisasi menavigasi risiko unik yang ditimbulkan AI di cloud, Tenable merekomendasikan strategi mitigasi berikut:

  • Kelola eksposur AI secara holistik: Pantau infrastruktur cloud, beban kerja, identitas, data, dan alat AI secara terus menerus untuk memperoleh visibilitas kontekstual dan memprioritaskan mitigasi risiko.

  • Klasifikasikan aset AI sebagai aset sensitif: Masukkan model AI, dataset, dan alat ke dalam inventaris aset dan perlakukan sebagai target bernilai tinggi yang memerlukan pemindaian dan perlindungan konstan.

  • Ikuti perkembangan regulasi dan praktik terbaik AI: Peta penyimpanan data AI, terapkan kontrol akses yang ketat, dan pastikan praktik pengembangan yang aman sejak desain, selaras dengan kerangka kerja seperti NIST AI Risk Management Framework.

  • Terapkan akses dengan hak minimum (least privilege): Tinjau izin secara berkala, kurangi hak istimewa yang berlebihan, dan kelola identitas cloud secara ketat untuk mencegah akses tidak sah ke model dan data AI.

  • Terapkan dan verifikasi rekomendasi keamanan dari penyedia cloud: Sadari bahwa pengaturan default mungkin terlalu longgar dan pastikan konfigurasi sesuai dengan praktik terbaik.

  • Prioritaskan perbaikan kerentanan kritis: Fokus pada kerentanan dengan potensi dampak tertinggi menggunakan alat canggih yang mengurangi kelelahan akibat peringatan dan meningkatkan efisiensi perbaikan.

“AI akan membentuk masa depan bisnis, tetapi hanya jika dibangun di atas fondasi yang aman,” tambah Ng. “Alat open-source dan layanan cloud sangat penting, tetapi harus dikelola dengan hati-hati. Tanpa visibilitas terhadap apa yang diterapkan dan bagaimana cara mengkonfigurasinya, organisasi berisiko kehilangan kendali atas lingkungan AI mereka dan hasil yang dihasilkan sistem tersebut.”

Advertisements

Comments are closed, but trackbacks and pingbacks are open.

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More