Kemunculan Claude Mythos menandai fase baru risiko kecerdasan buatan di sektor keuangan, di mana kemampuan AI dalam menemukan celah keamanan melampaui kecepatan respons organisasi. Kondisi ini mendorong bank untuk tidak lagi hanya mengandalkan sistem keamanan teknis, tetapi mengembangkan kerangka strategis seperti AI Storm Radar guna membaca, mengantisipasi, dan merespons risiko AI secara menyeluruh lintas fungsi.
Oleh: Tugu Nugraha *)
Fokus:
■ Claude Mythos menandakan percepatan risiko AI yang melampaui kapasitas respons organisasi perbankan tradisional.
■ Risiko siber kini naik kelas menjadi isu strategis boardroom yang menyangkut kepercayaan dan stabilitas sistem keuangan.
■ AI Storm Radar menjadi kerangka penting untuk membaca risiko AI dari sisi teknologi, sistem, vendor, dan tata kelola.
Dalam beberapa hari terakhir, Claude Mythos keluar dari ruang teknis AI dan menjadi perhatian media global. Reuters menyoroti bagaimana model ini memicu perhatian industri perbankan dan regulator, sementara The Guardian membingkainya sebagai sinyal baru dalam risiko keamanan siber global. Penyebabnya jelas: Anthropic memilih tidak merilis Claude Mythos secara umum dan menempatkannya dalam Project Glasswing, sebuah inisiatif terbatas untuk membantu organisasi tertentu mengamankan perangkat lunak kritikal.
Sebelumnya, digitalbank.id telah menyoroti Claude Mythos sebagai sinyal rapuhnya benteng pertahanan digital perbankan. Artikel ini melanjutkan alarm tersebut dari sisi berbeda: apa yang perlu dipahami direksi bank setelah risiko seperti Mythos masuk ke radar global?
Di permukaan, ini tampak seperti berita tentang satu model AI baru. Namun bagi industri perbankan, Claude Mythos membawa pesan yang lebih dalam: risiko AI mulai bergerak lebih cepat daripada ritme organisasi tradisional. Jika sebuah AI mampu menemukan celah keamanan sebelum organisasi selesai menjadwalkan rapat koordinasi, maka pertanyaan bagi bank berubah. Ini bukan lagi sekadar apakah firewall cukup kuat, tetapi apakah bank mampu berpikir dan bertindak dalam kecepatan risiko yang baru.
Claude Mythos menjadi sinyal baru risiko AI di perbankan global. Bank kini membutuhkan AI Storm Radar untuk membaca ancaman secara real-time, mengelola risiko vendor, dan menjaga kepercayaan nasabah di era transformasi digital.
Di titik inilah bank membutuhkan AI Storm Radar. Bukan sebagai pengganti sistem keamanan siber, tetapi sebagai radar strategis bagi direksi untuk membaca arah badai AI: dari kemampuan teknologi, paparan sistem, kecepatan respons, risiko pihak ketiga, hingga kesiapan tata kelola.
Claude Mythos sebagai Sinyal Baru
Claude Mythos sebaiknya tidak dibaca hanya sebagai berita teknologi. Ia adalah sinyal bahwa sebagian kemampuan AI kini mulai diperlakukan sebagai kemampuan strategis. Jika sebuah model dianggap cukup sensitif sehingga aksesnya dibatasi, maka kita sedang memasuki fase baru dalam tata kelola AI: fase ketika kemampuan model tidak hanya dinilai dari manfaatnya, tetapi juga dari potensi penyalahgunaannya.
Bagi bank, ini bukan isu yang mengawang-awang. Industri perbankan hidup di atas sistem digital yang kompleks: core banking, mobile banking, Application Programming Interface (API) sebagai jembatan integrasi antar-sistem digital, payment rails, fraud detection tools, layanan cloud, customer data platform, dan koneksi dengan berbagai mitra ekosistem. Setiap titik koneksi adalah sumber efisiensi, tetapi juga potensi paparan risiko.
Anthropic menyatakan bahwa Mythos Preview sangat kuat untuk tugas keamanan komputer. Dalam penjelasan teknisnya, perusahaan itu menyebut model ini mampu membantu menemukan dan memperbaiki kerentanan perangkat lunak, tetapi kemampuan serupa juga dapat menimbulkan risiko besar bila digunakan untuk tujuan ofensif.
Bagi bank, ini bukan isu yang mengawang-awang. Industri perbankan hidup di atas sistem digital yang kompleks: core banking, mobile banking, Application Programming Interface (API) sebagai jembatan integrasi antar-sistem digital, payment rails, fraud detection tools, layanan cloud, customer data platform, dan koneksi dengan berbagai mitra ekosistem. Setiap titik koneksi adalah sumber efisiensi, tetapi juga potensi paparan risiko.
Bagi perbankan Indonesia, isu ini menjadi semakin penting karena transformasi digital bank berjalan bersamaan dengan ketergantungan yang makin besar pada vendor teknologi, integrasi API, dan ekosistem pembayaran digital. Semakin luas koneksi digital bank, semakin besar pula kebutuhan untuk membaca risiko secara lintas fungsi, bukan hanya dari sisi teknologi informasi.
Dari Cybersecurity ke Risiko Boardroom
Selama ini, risiko siber sering dipahami sebagai urusan teknis. Ia dikelola oleh tim IT, cybersecurity, Chief Information Security Officer (CISO), atau vendor keamanan. Pandangan ini tidak lagi cukup.
Begitu AI mempercepat proses penemuan celah, eskalasi serangan, dan otomatisasi eksploitasi, risiko siber naik kelas menjadi risiko boardroom. Ia menyentuh keberlangsungan bisnis, reputasi, perlindungan aset, kepatuhan, hubungan dengan regulator, dan yang paling penting: kepercayaan nasabah.
Bank bukan perusahaan digital biasa. Bank mengelola dana masyarakat, menjaga transaksi harian, memproses pembayaran, menyalurkan kredit, dan menjadi bagian dari denyut ekonomi. Jika sistem bank terganggu, dampaknya tidak berhenti pada downtime teknologi. Ia bisa memicu kepanikan nasabah, mengganggu aktivitas ekonomi, dan merusak rasa aman publik terhadap sistem keuangan.
Karena itu, direksi tidak cukup hanya bertanya, “apakah sistem kita sudah aman?” Pertanyaan yang lebih tepat adalah apakah organisasi cukup cepat memahami, memprioritaskan, dan merespons risiko ketika AI membuat ancaman bergerak lebih cepat.
Tata Kelola AI Bukan Sekadar Compliance
OJK telah meluncurkan Tata Kelola Kecerdasan Artifisial Perbankan Indonesia sebagai panduan agar penggunaan AI di sektor perbankan dikembangkan dan diterapkan secara bertanggung jawab. Ini langkah penting karena AI di bank tidak hanya menyentuh inovasi layanan, tetapi juga manajemen risiko, transparansi, akuntabilitas, dan perlindungan nasabah.
Bank bukan perusahaan digital biasa. Bank mengelola dana masyarakat, menjaga transaksi harian, memproses pembayaran, menyalurkan kredit, dan menjadi bagian dari denyut ekonomi. Jika sistem bank terganggu, dampaknya tidak berhenti pada downtime teknologi. Ia bisa memicu kepanikan nasabah, mengganggu aktivitas ekonomi, dan merusak rasa aman publik terhadap sistem keuangan.
Namun bagi bank, tata kelola AI tidak boleh dibaca hanya sebagai urusan compliance. Jika cara pandangnya hanya kepatuhan, bank akan cenderung bertanya: dokumen apa yang harus ada, SOP mana yang harus dibuat, laporan apa yang perlu disiapkan. Semua itu penting, tetapi tidak cukup.
Dalam era Claude Mythos, AI governance menyangkut pertanyaan yang lebih mendasar: apakah bank mampu bertahan ketika AI mempercepat risiko? Apakah aset nasabah terlindungi? Apakah sistem kritikal tetap berjalan? Apakah keputusan dapat dilacak? Apakah vendor bisa dikendalikan? Apakah publik tetap percaya ketika terjadi insiden?
Tata kelola AI, dengan kata lain, adalah bagian dari mekanisme bertahan hidup institusi. Jika AI salah membaca risiko, membuka celah keamanan, mempercepat keputusan keliru, atau digunakan oleh aktor jahat untuk menyerang sistem, yang dipertaruhkan bukan hanya kepatuhan terhadap aturan. Yang dipertaruhkan adalah kepercayaan, aset, dan keberlangsungan bisnis bank sendiri.
Bank sebagai Sasaran Proxy dalam Konflik Siber Modern
Sistem perbankan tidak hanya bisa menjadi korban kejahatan siber biasa. Dalam konflik siber modern, bank dapat menjadi sasaran proxy untuk menunjukkan kapasitas serangan, menciptakan tekanan, atau mengguncang kepercayaan publik.
Serangan terhadap bank tidak selalu bertujuan mencuri uang secara langsung. Ia bisa menjadi sinyal. Ia bisa menjadi cara untuk menguji ketahanan negara. Ia bisa menjadi operasi untuk mempermalukan institusi, mengganggu transaksi, menciptakan persepsi bahwa sistem ekonomi tidak aman, atau menekan pemerintah melalui keresahan publik.
Di banyak negara, sektor jasa keuangan diperlakukan sebagai bagian dari infrastruktur kritikal. CISA, lembaga keamanan siber Amerika Serikat, menyebut sektor jasa keuangan sebagai komponen vital infrastruktur kritikal karena gangguan pada sektor ini dapat berdampak pada stabilitas ekonomi dan kepercayaan publik.
Claude Mythos memperbesar relevansi risiko ini karena ia menunjukkan bahwa AI dapat mempercepat pencarian dan eksploitasi celah. Jika kemampuan seperti ini digunakan oleh kelompok kriminal, aktor proxy, atau jaringan yang memiliki motif geopolitik, maka bank tidak hanya berhadapan dengan hacker individual. Bank berhadapan dengan ekosistem serangan yang lebih cepat, lebih terotomasi, dan lebih strategis.
Logika ini relevan bagi bank di mana pun, termasuk Indonesia. Bank adalah infrastruktur kepercayaan. Ketika bank diserang, yang terganggu bukan hanya server, aplikasi, atau database. Yang diserang adalah rasa aman masyarakat terhadap uangnya, transaksinya, dan kemampuan negara menjaga sistem ekonominya tetap berjalan.
Claude Mythos memperbesar relevansi risiko ini karena ia menunjukkan bahwa AI dapat mempercepat pencarian dan eksploitasi celah. Jika kemampuan seperti ini digunakan oleh kelompok kriminal, aktor proxy, atau jaringan yang memiliki motif geopolitik, maka bank tidak hanya berhadapan dengan hacker individual. Bank berhadapan dengan ekosistem serangan yang lebih cepat, lebih terotomasi, dan lebih strategis.
Bahaya Remediation Gap
Dalam era AI, menemukan celah bukan lagi satu-satunya tantangan. Tantangan yang lebih berat adalah memperbaikinya dengan cukup cepat.
Di sinilah bank perlu memahami konsep remediation gap: jarak antara kecepatan AI menemukan celah dan kecepatan organisasi memperbaikinya. Banyak institusi sudah memiliki sistem deteksi, dashboard, alert, dan laporan risiko. Namun, tidak semua mampu bergerak cepat setelah risiko teridentifikasi.
Dalam konteks Mythos, sejumlah perusahaan dengan akses awal melalui Project Glasswing menekankan bahwa isu utama bukan lagi sekadar menemukan vulnerability, tetapi kecepatan respons dan mitigasi. Bank bisa kalah karena terlalu lambat menutup celah yang sudah diketahui.
Third-Party Risk yang Makin Kritis
Risiko lain yang sering tidak terlihat berada di rantai pihak ketiga. Bank modern tidak berdiri sendiri. Banyak fungsi bank ditopang oleh cloud provider, vendor core banking, platform cybersecurity, fintech partner, penyedia API, data analytics, payment gateway, dan berbagai sistem eksternal.
Celah bisa muncul dari vendor yang terhubung, konfigurasi API yang lemah, privilege access yang tidak terkendali, atau lingkungan pihak ketiga yang tidak memiliki disiplin keamanan setara dengan bank.
Kasus Claude Mythos sendiri memperlihatkan sensitivitas isu ini. Reuters dan The Guardian melaporkan bahwa Anthropic menyelidiki dugaan akses tidak sah terhadap Mythos yang disebut terjadi melalui lingkungan vendor pihak ketiga. Walau laporan tersebut menyebutkan akses tidak digunakan untuk tujuan eksploitasi siber, kasus ini menunjukkan bahwa sistem paling sensitif sekalipun dapat terekspos melalui rantai akses yang tidak langsung.
Bagi direksi bank, ini berarti vendor risk bukan lagi sekadar isu procurement. Ia menjadi bagian dari operational resilience. Kontrak, audit, akses, logging, incident reporting, dan Service Level Agreement (SLA) harus mencerminkan risiko AI-era cybersecurity.
Bank Membutuhkan AI Storm Radar
Karena risiko AI bergerak lintas fungsi, bank tidak cukup hanya mengandalkan laporan teknis. Direksi membutuhkan kerangka untuk membaca badai secara utuh. Inilah fungsi AI Storm Radar.
AI Storm Radar adalah kerangka tata kelola strategis untuk membantu direksi bank membaca risiko AI dari lima sisi: kemampuan teknologi, paparan sistem, kecepatan respons, risiko pihak ketiga, dan akuntabilitas tata kelola. Tujuannya membantu pimpinan memahami risiko AI sebagai risiko bisnis, risiko kepercayaan, dan risiko ketahanan institusi. Adapun kelima radar tersebut masing-masing:
● Radar pertama adalah capability radar, yakni kemampuan membaca model AI apa yang mulai mengubah peta ancaman.
● Radar kedua adalah exposure radar, ini soal pemahaman tentang sistem mana yang paling rentan jika ancaman AI meningkat.
● Radar ketiga adalah remediation radar, yakni kemampuan melihat apakah organisasi cukup cepat menutup celah kritikal.
● Radar keempat adalah third-party radar, ini adalah pemetaan risiko tersembunyi dari vendor dan mitra digital.
● Radar kelima adalah governance radar, soal kejelasan akuntabilitas ketika AI mempercepat krisis.
Lima radar ini tidak perlu dipahami sebagai checklist teknis. Ia lebih tepat dibaca sebagai cara berpikir strategis. Bagi direksi, nilai utamanya bukan pada istilahnya, tetapi pada kemampuannya memperlihatkan bahwa risiko AI tidak datang dari satu titik. Ia muncul dari pertemuan antara teknologi, sistem, vendor, manusia, regulasi, dan kepercayaan publik.
Dari Zero Trust ke Kepercayaan sebagai Infrastruktur
Zero Trust tetap penting: akses harus diverifikasi, privilege dibatasi, dan aktivitas sistem terus dipantau. Namun era Claude Mythos membutuhkan lapisan berikutnya, yaitu AI-speed resilience: kemampuan bank mendeteksi, memprioritaskan, memperbaiki, dan mengomunikasikan risiko dalam tempo yang mendekati kecepatan ancaman berbasis AI.
Pelajaran terbesar dari Claude Mythos bukan bahwa bank harus takut pada satu model AI. Pelajaran terbesarnya adalah bahwa peta risiko sedang berubah. Serangan terhadap bank bukan hanya serangan terhadap server atau aplikasi. Ia bisa menjadi serangan terhadap persepsi stabilitas, rasa aman nasabah, dan keyakinan publik bahwa sistem ekonomi masih bekerja.
Ini bukan hanya soal teknologi. Ketahanan bank ditentukan oleh kemampuan menghubungkan cybersecurity, AI governance, operational resilience, vendor risk, dan komunikasi krisis sebagai satu sistem. Bank bisa memiliki banyak dashboard, tetapi tetap terlambat memahami arah badai jika fungsi-fungsi tersebut berjalan terpisah.
Pelajaran terbesar dari Claude Mythos bukan bahwa bank harus takut pada satu model AI. Pelajaran terbesarnya adalah bahwa peta risiko sedang berubah. Serangan terhadap bank bukan hanya serangan terhadap server atau aplikasi. Ia bisa menjadi serangan terhadap persepsi stabilitas, rasa aman nasabah, dan keyakinan publik bahwa sistem ekonomi masih bekerja.
Karena itu, pertanyaan strategis bagi direksi bank bukan lagi sekadar “apakah kita aman?”, tetapi apakah bank cukup cepat membaca risiko, menutup celah, mengendalikan risiko pihak ketiga, dan menjaga akuntabilitas sebelum ancaman bergerak lebih dulu. Masa depan perbankan tidak hanya ditentukan oleh siapa yang memiliki teknologi paling canggih, tetapi oleh siapa yang mampu menjaga kepercayaan ketika teknologi membuat risiko bergerak lebih cepat daripada institusi yang mengelolanya.
Dalam industri perbankan, kepercayaan bukan pelengkap reputasi. Kepercayaan adalah infrastruktur utama yang membuat seluruh sistem tetap berdiri.
*) Tuhu Nugraha adalah pakar AI, Principal Indonesia Applied Digital Economy & Regulatory Network (IADERN), kini aktif menjadi pembicara di banyak forum internasional dan nasional mengenai AI, strategi digital dan tata kelola teknologi di negara-negara berkembang.
Digionary:
● AI Storm Radar: Kerangka strategis untuk membaca risiko AI secara menyeluruh dalam organisasi.
● API: Antarmuka yang memungkinkan integrasi antar sistem digital.
● Boardroom Risk: Risiko strategis yang berdampak pada keputusan tingkat direksi.
● Claude Mythos: Model AI dengan kemampuan tinggi dalam keamanan sistem.
● Compliance: Kepatuhan terhadap regulasi dan standar industri.
● Cybersecurity: Sistem perlindungan terhadap ancaman digital.
● Data Exposure: Tingkat keterbukaan data terhadap potensi risiko.
● Governance AI: Tata kelola penggunaan AI dalam organisasi.
● Operational Resilience: Kemampuan organisasi bertahan dari gangguan operasional.
● Remediation Gap: Kesenjangan antara deteksi dan perbaikan risiko.
● Risk Management: Proses identifikasi dan mitigasi risiko.
● Third-Party Risk: Risiko yang berasal dari vendor atau mitra eksternal.
● Threat Intelligence: Informasi terkait ancaman keamanan siber.
● Vulnerability: Celah keamanan dalam sistem.
● Zero Trust: Model keamanan yang tidak mempercayai akses tanpa verifikasi.
#AIStormRadar #AgenticAI #AIBanking #Cybersecurity #RiskManagement #DigitalBanking #OJK #BankIndonesia #FintechIndonesia #AIinFinance #OperationalResilience #ThirdPartyRisk #ZeroTrust #FraudDetection #DataSecurity #BankingTransformation #RegTech #AIGovernance #FinancialStability #CyberRisk
