Cyber Pulse: Laporan Keamanan AI

Edisi 1: Pendahuluan

Organisasi Frontier mengubah cara kerja dengan kolaborasi manusia dan agen yang berjalan berdampingan untuk meningkatkan ambisi manusia. Data Microsoft terbaru menunjukkan bahwa kolaborasi tim antara manusia dengan agen ini makin berkembang dan diadopsi secara luas di seluruh dunia.

Agen AI berkembang lebih pesat dibanding kemampuan pemantauan perusahaan. Kesenjangan visibilitas ini merupakan risiko bisnis. Organisasi perlu segera menerapkan tata kelola dan keamanan yang efektif untuk dengan aman mengadopsi agen, mendorong inovasi, dan meminimalkan risiko. Seperti pengguna manusia, agen AI memerlukan perlindungan melalui observabilitas, tata kelola, dan keamanan yang kuat menggunakan prinsip Zero Trust. Perusahaan yang sukses menyelesaikan tahap adopsi AI berikutnya adalah perusahaan yang bergerak cepat dan menyatukan tim bisnis, TI, keamanan, dan pengembang untuk memantau, mengelola, dan mengamankan transformasi AI perusahaannya.

Pelanggan kini membangun dan menyebarkan agen di setiap platform utama seluruh ekosistem Microsoft, mulai dari Fabric dan Foundry hingga Copilot Studio dan Penyusun Agen, guna beradaptasi dengan peralihan besar ke automasi berbasis AI dalam alur kerja.

Pembuatan agen tidak lagi dibatasi oleh peran teknis; kini karyawan di berbagai posisi dapat membuat dan menggunakan agen dalam pekerjaannya sehari-hari. Bahkan, data Microsoft menunjukkan bahwa lebih dari 80% perusahaan Fortune 500 menyebarkan agen aktif yang dirancang dengan alat low-code/tanpa kode.¹ Seiring meluasnya penggunaan agen dan bertambahnya peluang transformasi, kini saatnya menerapkan kontrol mendasar.

Sama seperti untuk karyawan manusia, Zero Trust untuk agen berarti:

Akses hak istimewa terendah: Cukup beri setiap pengguna, agen AI, atau sistem hal yang diperlukan, tidak lebih.

Verifikasi eksplisit: Selalu konfirmasikan siapa atau apa yang meminta akses menggunakan identitas, kesehatan perangkat, lokasi, dan tingkat risiko.

Asumsikan kompromi dapat terjadi: Rancang sistem yang mengantisipasi penyerang dapat menerobos.

Grafik yang menunjukkan lebih dari 80 persen perusahaan Fortune 500 menggunakan alat agen low code aktif Ask Copilot

Agen AI berkembang pesat di seluruh wilayah dan industri

Adopsi agen meningkat pesat di berbagai wilayah di seluruh dunia, mulai dari EMEA hingga Amerika dan Asia.²

Diagram batang yang menampilkan distribusi regional: EMEA 42%, Amerika Serikat 29%, Asia 19%, dan Amerika 10%.

Microsoft mencatat pertumbuhan agen di semua sektor industri. Jasa keuangan, manufaktur, dan ritel menjadi yang terdepan dalam adopsi agen. Jasa keuangan, mencakup perbankan, pasar modal, dan asuransi, kini mewakili sekitar 11% dari semua agen aktif di seluruh dunia.² Sektor manufaktur menyumbang 13% dari penggunaan agen global, menunjukkan luasnya adopsi di pabrik, rantai pasokan, dan operasi energi.² Sektor ritel menyumbang 9%, dengan agen yang digunakan untuk meningkatkan pengalaman pelanggan, manajemen inventaris, dan proses garis depan.²

Catatan penting: beberapa agen ini telah disetujui oleh TI, sementara yang lain tidak. Beberapa agen ini sudah aman, sementara yang lain belum.

Lingkaran yang saling tumpang tindih menggambarkan distribusi industri: Perangkat Lunak dan Teknologi 16%, Manufaktur 13%, Layanan Keuangan 11%, dan Ritel 9%.

Risiko agen ganda

Penyebaran agen yang cepat dapat melampaui kontrol keamanan dan kepatuhan sehingga meningkatkan risiko munculnya AI bayangan. Pelaku kejahatan dapat mengeksploitasi akses dan hak istimewa agen sehingga menjadikan mereka “agen ganda” tanpa disadari. Seperti karyawan manusia, agen dengan akses yang berlebihan atau instruksi yang salah dapat menimbulkan celah.

Ancaman eksploitasi agen ganda akibat dibiarkan tanpa penanganan, izin yang salah, atau manipulasi input tidak tepercaya bukanlah risiko teoretis. Baru-baru ini, tim Defender Microsoft mengidentifikasi kampanye penipuan yang melibatkan beberapa pelaku yang memanfaatkan teknik serangan AI bernama “memory poisoning” untuk memanipulasi memori asisten AI secara persisten dan diam-diam mengarahkan respons baru serta menurunkan kepercayaan terhadap akurasi sistem.

Dalam riset tapak uji (testbed) independen dan aman yang dilakukan oleh AI Red Team Microsoft, para peneliti mendokumentasikan cara elemen antarmuka penipu menjebak agen, seperti mengikuti instruksi berbahaya yang tersembunyi dalam konten sehari-hari. Red Team juga menemukan pengalihan penalaran agen yang licik melalui siasat manipulasi tugas. Temuan ini menegaskan pentingnya perusahaan memiliki observabilitas dan pengelolaan penuh atas semua agen yang berinteraksi dengan perusahaan mereka sehingga kontrol dapat diterapkan secara terpusat dan risiko dikelola secara terpusat dengan pendekatan terpadu.

Menurut survei tahun 2025, 29 persen karyawan menggunakan agen AI yang tidak resmi untuk menyelesaikan tugas kerja.

Menurut Indeks Keamanan DataMicrosoft, hanya 47% organisasi di berbagai industri yang melaporkan telah menerapkan kontrol keamanan GenAI khusus,³ menunjukkan peluang besar bagi organisasi untuk memperoleh visibilitas yang jelas demi adopsi AI yang aman. Yang tidak kalah penting, berdasarkan survei multinasional resmi Microsoft terhadap lebih dari 1.700 profesional keamanan data yang dilakukan oleh Hypothesis Group, 29% karyawan telah menggunakan agen AI yang tidak disetujui untuk menyelesaikan tugas dalam pekerjaan.⁴

Diagram lingkaran menunjukkan bahwa hanya 47 persen organisasi yang menerapkan kontrol keamanan untuk penggunaan AI generatif.

Seiring makin cepatnya adopsi, berapa pemimpin yang benar-benar menyadari risiko mendasarnya? Berapa pemimpin yang memiliki visibilitas penuh terhadap populasi agen mereka? Agen AI yang tidak diawasi atau tidak diatur dapat memperbesar risiko di perusahaan, seperti mengancam keamanan, kelangsungan bisnis, dan reputasi, yang menjadi tanggung jawab utama CISO dan jajaran eksekutif. Inilah dilema utama risiko cyber. Agen AI menghadirkan peluang baru di tempat kerja dan menjadi bagian yang tak terpisahkan dari operasi internal. Namun, perilaku berisiko agen dapat memperbesar ancaman internal dan menciptakan mode kegagalan baru bagi organisasi yang tidak siap menanganinya.

AI layaknya pedang bermata dua: inovasi luar biasa yang disertai risiko yang tidak terduga.

Memaksimalkan potensi agen AI

Perusahaan Frontier memanfaatkan gelombang AI untuk memodernkan tata kelola, mengurangi paparan data yang tidak perlu, dan menyebarkan kontrol ke seluruh perusahaan. Perusahaan juga memadukannya dengan perubahan budaya: pemimpin bisnis mungkin memegang kendali atas strategi AI, tetapi tim TI dan keamanan kini menjadi pendamping yang andal dalam observabilitas, tata kelola, dan eksperimen yang aman. Bagi organisasi ini, mengamankan agen bukanlah hambatan, melainkan keunggulan kompetitif, yang dibangun dengan memperlakukan agen AI layaknya manusia dan menerapkan prinsip Zero Trust yang sama.

Semua dimulai dari observabilitas karena kita tidak dapat melindungi sesuatu yang tidak terlihat dan kita tidak dapat mengelola sesuatu yang tidak kita pahami. Observabilitas layaknya memiliki sarana kontrol di seluruh lapisan organisasi (tim TI, keamanan, pengembang, dan AI) untuk memahami:

Agen apa saja yang ada
Siapa pemiliknya
Sistem dan data apa saja yang diakses
Bagaimana perilakunya

Registri terpusat berfungsi sebagai satu sumber tepercaya untuk semua agen di seluruh organisasi, baik yang disetujui, pihak ketiga, maupun agen bayangan baru. Inventaris ini membantu mencegah penyebaran agen yang tidak terkendali, memastikan akuntabilitas, dan memudahkan penemuan, sekaligus memungkinkan pembatasan atau karantina agen yang tidak disetujui saat diperlukan.
Setiap agen diatur dengan kontrol akses berbasis identitas dan kebijakan yang sama seperti yang diterapkan pada pengguna manusia dan aplikasi. Izin dengan hak istimewa terendah, yang diterapkan secara konsisten, memastikan agen hanya dapat mengakses data, sistem, dan alur kerja yang diperlukan untuk menjalankan fungsinya, tidak lebih, tidak kurang.
Dasbor dan telemetri real time memberikan wawasan tentang cara agen berinteraksi dengan manusia, data, dan sistem. Para pemimpin dapat memantau lokasi operasi agen, memahami ketergantungan, serta mengawasi perilaku dan dampaknya sehingga mendukung deteksi yang lebih cepat terhadap penyalahgunaan, penyimpangan, atau risiko baru.
Agen beroperasi di seluruh platform Microsoft, kerangka kerja sumber terbuka, dan ekosistem pihak ketiga dengan model tata kelola yang konsisten. Interoperabilitas ini memungkinkan agen berkolaborasi dengan orang dan agen lain di berbagai alur kerja sekaligus tetap dikelola dalam kontrol perusahaan yang sama.
Perlindungan bawaan menjaga agen dari penyalahgunaan internal dan ancaman eksternal. Sinyal keamanan, penerapan kebijakan, dan alat terintegrasi membantu organisasi mendeteksi agen yang disusupi atau tidak memenuhi syarat sejak dini dan merespons cepat sebelum masalah menyebar menjadi kerugian bisnis, regulasi, atau reputasi.

Menutup celah: daftar periksa tata kelola dan keamanan AI

Cara mengendalikan risiko AI sudah jelas: perlakukan agen AI dengan disiplin yang sama seperti memperlakukan karyawan atau akun layanan perangkat lunak. Berikut tujuh poin penting yang dapat Anda masukkan dalam daftar periksa.

Dokumentasikan tujuan setiap agen dan berikan akses hanya sesuai kebutuhan. Hindari pemberian hak akses yang luas.
Terapkan aturan perlindungan data pada saluran AI. Kelola jejak audit dan beri label pada konten yang dihasilkan AI.
Tawarkan alternatif yang aman untuk mengendalikan penggunaan AI bayangan. Blokir aplikasi yang tidak berizin.
Perbarui playbook Kelangsungan Bisnis untuk skenario terkait AI. Lakukan diskusi simulasi dan pantau metrik observabilitas di bidang identitas, data, dan ancaman.
Bangun tata kelola AI dan regulasi mandiri sekarang dengan mendokumentasikan data pelatihan, mengevaluasi bias, dan menetapkan pengawasan manusia di bidang hukum, data, dan keamanan agar kepatuhan terhadap regulasi terintegrasi sejak awal, bukan sekadar tambahan di kemudian hari.
Naikkan risiko AI ke tingkat perusahaan untuk menetapkan akuntabilitas eksekutif, KPI yang terukur, dan visibilitas di tingkat dewan beserta risiko keuangan dan operasional.
Latih karyawan cara menggunakan AI secara aman. Dorong transparansi dan kolaborasi.

Organisasi yang sukses memanfaatkan agen AI adalah organisasi yang memprioritaskan observabilitas, tata kelola, dan keamanan. Untuk mewujudkannya, diperlukan kolaborasi seluruh tim dan observabilitas agen AI di semua lapisan organisasi: profesional TI, tim keamanan, tim AI, dan pengembang, yang dapat dikelola dan dipantau melalui platform kontrol pusat terpadu.

Agent 365 adalah sarana kontrol terpadu Microsoft untuk mengelola agen AI di seluruh organisasi. Sarana ini menyediakan sistem terpusat kelas perusahaan untuk mendaftarkan, mengatur, mengamankan, memantau, dan mengoperasikan agen AI, baik yang dibangun di platform Microsoft, kerangka kerja sumber terbuka, maupun sistem pihak ketiga. Baca informasi selengkapnya tentang produk dan layanan Microsoft yang membantu mengamankan AI dan agen di sini.

Sumber daya lainnya

Seseorang bekerja dengan laptop di depan meja dalam ruang kerja bersama sambil memeriksa informasi di smartphone

Indeks Keamanan Data Microsoft

Dapatkan wawasan tentang cara AI generatif mengubah lanskap keamanan data.

Baca laporan

Pembawa acara yang berdiri di atas panggung dengan keterangan di layar sedang membaca cara memahami risiko dan menerapkan kontrol yang tepat untuk mengukur dan memantau

Meraih peluang lebih cepat dengan AI tepercaya

Simak para pemimpin Microsoft menyampaikan cara praktis membangun kepercayaan di setiap tahap perjalanan AI Anda.

Tonton seminar web

Ikon biru-putih yang menampilkan kertas di dalam amplop dengan teks Baru.

Dapatkan CISO Digest

Ikuti informasi terbaru seputar wawasan ahli, tren industri, dan riset keamanan dalam seri email dua bulanan ini.

Daftar

[1]
Berdasarkan telemetri internal Microsoft yang mengukur agen yang dibuat dengan Microsoft Copilot Studio atau Penyusun Agen Microsoft dan digunakan selama 28 hari terakhir sejak November 2025.
[2]
Metrik Agen Industri dan Regional dibuat menggunakan telemetri internal Microsoft yang mengukur agen yang dibuat dengan Microsoft Copilot Studio atau Penyusun Agen Microsoft dan digunakan selama 28 hari terakhir sejak November 2025.
[3]
Survei multinasional resmi Microsoft yang diselenggarakan pada bulan Juli 2025 terhadap lebih dari 1.700 profesional keamanan data bekerja sama dengan Hypothesis Group
[4]

Microsoft Data Security Index 2026: Unifying Data Protection and AI Innovation, Microsoft Security, 2026

Metodologi:

Metrik Agen Industri dan Regional dibuat menggunakan telemetri internal Microsoft yang mengukur agen yang dibuat dengan Microsoft Copilot Studio atau Penyusun Agen Microsoft dan digunakan selama 28 hari terakhir sejak November 2025.

Indeks Keamanan Data 2026:

Survei online multinasional berdurasi 25 menit yang dilakukan antara 16 Juli sampai 11 Agustus 2025 terhadap 1.725 pemimpin keamanan data.

Pertanyaan berfokus pada lanskap keamanan data, insiden keamanan data, pengamanan penggunaan GenAI karyawan, serta pemanfaatan GenAI dalam program keamanan data untuk menyoroti perbandingannya dengan tahun 2024.

Wawancara mendalam selama satu jam dilakukan dengan 10 pemimpin keamanan data di AS dan Inggris untuk mengumpulkan wawasan tentang pendekatan yang mereka gunakan terhadap keamanan data di organisasi masing-masing.

Definisi:

Agen Aktif adalah agen yang 1) sudah disebarkan ke lingkungan produksi dan 2) menunjukkan “aktivitas nyata” yang terkait dengan agen selama 28 hari terakhir.

“Aktivitas nyata” artinya 1+ keterlibatan dengan pengguna (agen bantuan) ATAU 1+ eksekusi otonom (agen otonom).

Cyber Pulse: Laporan Keamanan AI

Edisi 1: Pendahuluan

Agen AI berkembang pesat di seluruh wilayah dan industri

Risiko agen ganda

Memaksimalkan potensi agen AI

Observabilitas mencakup lima area inti:

Registri

Kontrol akses

Visualisasi

Interoperabilitas

Keamanan

Mengatasi risiko cyber di era agen

Menutup celah: daftar periksa tata kelola dan keamanan AI

Tentukan lingkup dan hak istimewa terendah

Perluas penerapan pencegahan kehilangan data dan kepatuhan

Sediakan platform AI yang disetujui

Rencana penanganan insiden terkait AI

Terapkan regulasi

Kelola risiko secara menyeluruh

Bangun budaya inovasi yang aman

Panduan Microsoft untuk mengamankan perusahaan berbasis AI