Berita Terbaru

Mitigasi Risiko Identitas Non-Manusia dalam Sistem AI Modern

Ilustrasi Artificial Intelligence

Ilustrasi Artificial Intelligence

Dalam beberapa tahun terakhir, kecerdasan buatan (AI) telah menjadi motor utama dalam transformasi digital berbagai perusahaan. Teknologi ini mampu meningkatkan produktivitas secara signifikan, mulai dari fitur pelengkapan kode otomatis seperti GitHub Copilot hingga chatbot internal yang dapat merespons pertanyaan dengan mengakses basis data perusahaan secara real time.

Namun, seiring dengan meningkatnya penggunaan AI, muncul pula tantangan besar yang jarang disorot: ledakan jumlah identitas non-manusia (Non-Human Identities/NHI) dalam sistem IT perusahaan.

 

Apa Itu Identitas Non-Manusia (NHI)?

NHI adalah entitas digital yang memiliki akses ke sistem dan layanan TI, namun bukan manusia. Contohnya termasuk akun layanan, bot CI/CD, kontainer, dan agen AI yang bekerja di balik layar untuk mengotomatiskan berbagai proses. Setiap NHI ini memerlukan autentikasi untuk dapat mengakses data atau sistem lainnya, biasanya dalam bentuk API key, token, atau sertifikat—yang semuanya termasuk dalam kategori secrets (rahasia digital).

Sayangnya, semakin banyak NHI berarti semakin banyak secrets yang harus dikelola, dan inilah sumber potensi risiko keamanan. Menurut laporan GitGuardian State of Secrets Sprawl 2025, lebih dari 23,7 juta rahasia digital terungkap di repositori publik GitHub sepanjang tahun 2024. Bahkan, repositori yang menggunakan Copilot tercatat menyebarkan rahasia 40% lebih sering.

 

Mengapa NHI Berisiko Tinggi?

Berbeda dengan pengguna manusia yang memiliki mekanisme rotasi password, otentikasi multi-faktor, dan kebijakan penghapusan akun jika tidak aktif, NHI sering kali diciptakan dan dilupakan. Hal ini menciptakan jaringan kredensial dan koneksi yang rumit dan tidak transparan, yang sangat mudah dieksploitasi oleh penyerang siber.

Kondisi ini semakin diperparah oleh adopsi cepat terhadap AI, terutama teknologi Large Language Models (LLM) dan pendekatan Retrieval-Augmented Generation (RAG) yang memungkinkan AI mengakses informasi dari berbagai sumber eksternal. Tanpa manajemen yang ketat, kombinasi antara AI dan NHI dapat menjadi bom waktu keamanan.

 

Skenario Nyata yang Menakutkan

Bayangkan sebuah chatbot internal berbasis LLM yang ditanya cara mengakses server pengembangan. Tanpa disadari, chatbot tersebut bisa mengambil halaman dokumentasi internal yang menyimpan API key dalam bentuk teks biasa dan memberikannya begitu saja kepada siapa pun yang bertanya. Lebih buruk lagi, informasi ini mungkin tersimpan dalam log percakapan yang bisa diakses banyak orang.

Ini bukan sekadar kesalahan kecil. Dalam skala besar, kesalahan seperti ini bisa menimbulkan pelanggaran keamanan data besar-besaran.

Lima Langkah Strategis untuk Mengurangi Risiko NHIs
Untuk mencegah skenario seperti di atas, organisasi perlu mengadopsi pendekatan keamanan yang proaktif. Berikut lima langkah praktis yang dapat diterapkan:

  1. Audit dan Bersihkan Sumber Data
    AI tidak bisa menciptakan informasi dari ketiadaan. Sistem LLM biasanya hanya dapat menggunakan data yang tersedia, termasuk yang disediakan oleh teknik RAG. Masalahnya, banyak sumber data internal seperti Jira, Slack, atau Confluence menyimpan secrets dalam bentuk teks biasa, tanpa enkripsi.

    Langkah pertama yang harus dilakukan adalah melakukan audit menyeluruh terhadap sumber data dan menghapus semua kredensial yang tersimpan secara tidak aman. Tools seperti GitGuardian dapat membantu mendeteksi dan menghapus secrets secara otomatis.
    Membersihkan data sebelum AI sempat mengaksesnya adalah tindakan preventif paling efektif untuk menghindari kebocoran rahasia.

  2. Pusatkan Pengelolaan NHI
    Kunci dari keamanan adalah visibilitas. Anda tidak bisa melindungi sesuatu yang tidak Anda ketahui. Oleh karena itu, organisasi perlu membangun inventaris lengkap atas semua NHI yang ada: akun layanan, bot, agen AI, pipeline CI/CD, dan sebagainya.

    Setelah semua NHI teridentifikasi, langkah berikutnya adalah mengelola secrets secara terpusat menggunakan alat seperti HashiCorp Vault, CyberArk, atau AWS Secrets Manager. Pendekatan ini memungkinkan penerapan sistem rotasi otomatis dan kebijakan akses berbasis peran, sehingga tidak ada secrets yang dibiarkan aktif terlalu lama.

  3. Cegah Kebocoran Rahasia dari LLM
    Model Context Protocol (MCP) merupakan standar baru yang memudahkan integrasi antara AI agent dan layanan lain melalui antarmuka standar. Namun, ini bukan tanpa risiko. Penelitian GitGuardian menunjukkan bahwa 5,2% dari server MCP mengandung secrets yang ditanam langsung dalam kode—angka yang bahkan lebih tinggi dari rata-rata kebocoran di GitHub.

    Untuk mencegah hal ini, organisasi sebaiknya menambahkan tools deteksi rahasia pada tahap awal pengembangan, seperti Git hooks atau ekstensi editor. Semakin cepat rahasia yang bocor dideteksi, semakin kecil kemungkinan ia menyebar ke sistem produksi.

  4. Amankan Sistem Logging
    Salah satu aspek yang sering terabaikan adalah keamanan log sistem AI. Karena AI bekerja secara probabilistik dan tidak selalu bisa diprediksi, tim pengembang sering kali mencatat seluruh proses interaksi dalam log untuk keperluan evaluasi.

    Masalahnya, jika log tersebut mencatat informasi sensitif—seperti API key atau password—dan log disimpan di cloud tanpa enkripsi atau akses terbatas, maka risiko kebocoran sangat besar. Solusinya adalah proses sanitasi otomatis sebelum log disimpan, dengan mendeteksi dan menghapus semua rahasia terlebih dahulu.

    Tools seperti ggshield dari GitGuardian bisa dimanfaatkan untuk memfilter secrets sebelum data terekam dalam log.

  5. Batasi Akses AI ke Data Sensitif
    Setiap akses AI ke sistem internal harus melalui proses evaluasi ketat. Jangan berikan akses ke sistem CRM atau basis data pelanggan tanpa kontrol yang jelas. Terapkan prinsip least privilege atau “akses seminimal mungkin” pada setiap agen AI yang Anda gunakan.

    Jika chatbot Anda berada di situs publik, pastikan ia tidak bisa mengakses sistem internal seperti Confluence atau Jira. Di sisi lain, untuk chatbot internal yang digunakan oleh tim teknis, mungkin akses ke data teknis memang diperlukan, namun tetap harus dikontrol.

 
Meningkatkan Kesadaran Developer adalah Kunci

Semua langkah teknis di atas tidak akan berarti tanpa adanya kesadaran dari para pengembang. Mereka adalah pihak pertama yang menciptakan dan mengelola NHI, sehingga pemahaman tentang risiko dan tanggung jawab sangat penting.

Buatlah pelatihan, panduan internal, dan SOP yang jelas mengenai bagaimana menangani secrets dan bagaimana AI seharusnya digunakan secara aman. Bangun budaya kerja di mana keamanan bukan beban, tetapi bagian dari proses inovasi.

 
Mengapa Ini Penting: AI dan Masa Depan Organisasi

AI akan terus berkembang dan menjadi fondasi dari otomatisasi masa depan. Namun, tanpa pengelolaan identitas yang aman baik manusia maupun non-manusia, AI dapat menjadi pisau bermata dua.

Organisasi yang ingin memimpin di era AI harus mulai memperlakukan identitas mesin seperti memperlakukan pengguna manusia, dengan pengawasan, manajemen siklus hidup, dan pengelolaan secrets yang ketat.

 
Kesimpulan:

Dalam dunia yang didorong oleh AI, identitas non-manusia akan terus bertambah. Agar transformasi digital ini bisa berlangsung dengan aman dan efisien, perusahaan perlu:

  • Menyusun inventaris NHI secara lengkap
  • Mengelola secrets secara terpusat
  • Mencegah kebocoran sejak awal pengembangan
  • Mengamankan sistem log
  • Menerapkan prinsip least privilege pada agen AI

Semua ini hanya bisa berhasil jika disertai dengan kolaborasi antara tim keamanan dan pengembang, serta kesadaran akan pentingnya keamanan data.

Dengan pendekatan ini, perusahaan tidak hanya melindungi diri dari ancaman keamanan, tetapi juga membuka jalan untuk inovasi AI yang berkelanjutan dan bertanggung jawab.

Bagikan artikel ini
Komentar ()

Berlangganan

Berlangganan newsletter kami dan dapatkan informasi terbaru.

Artikel Terkait

Video Terkait