Laporan terbaru Tenable mengungkap kesenjangan paparan risiko AI yang kian melebar di lingkungan cloud global. Sebanyak 86% organisasi diketahui memasang paket kode pihak ketiga dengan kerentanan kritis, sementara 65% menyimpan kredensial cloud terlupakan yang membuka akses ke aset bernilai tinggi. Lonjakan adopsi AI, penggunaan kode eksternal, dan ekspansi cloud dinilai melampaui kemampuan tim keamanan dalam mengendalikan risiko.
Fokus:
■ Sebanyak 86% organisasi meng-host kode pihak ketiga dengan kerentanan kritis, dan 13% menggunakan paket dengan riwayat kompromi.
■ Agen AI dan service account menyumbang 52% risiko, melampaui pengguna manusia, dengan banyak izin administratif jarang diaudit.
■ Sebanyak 65% organisasi memiliki kredensial cloud tidak aktif, sementara 49% identitas dengan izin kritis dalam kondisi dorman.
Adopsi kecerdasan buatan (AI) melesat. Namun di balik euforia transformasi digital, celah keamanan justru melebar. Laporan terbaru Tenable memperingatkan bahwa perusahaan kini mewarisi risiko siber lebih cepat daripada kemampuan mereka menutupnya—sebuah kondisi yang disebut sebagai “AI Exposure Gap”.
Tenable®, perusahaan manajemen eksposur yang terdaftar di NASDAQ (TENB), merilis Cloud and AI Security Risk Report 2026 yang memotret realitas keras di balik percepatan adopsi AI global. Temuannya mengungkapkan bahwa organisasi menghadapi kesenjangan paparan risiko AI tanpa ruang toleransi—zero margin—karena kecepatan rekayasa teknologi melampaui kapasitas manusia dalam mengidentifikasi dan memperbaiki celah keamanan.
Laporan Tenable 2026 mengungkap 86% perusahaan gunakan kode pihak ketiga rentan dan 65% simpan kredensial cloud terlupakan. Risiko AI dan supply chain makin mengkhawatirkan.
Lonjakan penggunaan AI, integrasi paket kode pihak ketiga, serta skala cloud yang terus membesar menciptakan permukaan serangan yang makin kompleks. Ironisnya, sebagian besar tim keamanan belum siap mengelola risiko lintas aplikasi, infrastruktur, identitas, agen AI, dan data yang saling terhubung.
86% Gunakan Kode Rentan
Laporan ini menemukan 70% organisasi telah mengintegrasikan setidaknya satu paket AI atau Model Context Protocol (MCP) pihak ketiga ke dalam sistem mereka—sering kali tanpa pengawasan keamanan terpusat.
Lebih mengkhawatirkan, 86% organisasi meng-host paket kode pihak ketiga dengan kerentanan tingkat kritis. Rantai pasok perangkat lunak kini menjadi sumber paparan risiko cloud yang utama dan persisten. Bahkan, hampir 13% organisasi diketahui menggunakan paket dengan riwayat kompromi keamanan, termasuk worm seperti s1ngularity dan Shai-Hulud.
Dalam konteks global, ancaman supply chain attack memang meningkat. Data berbagai lembaga keamanan siber menunjukkan serangan rantai pasok melonjak signifikan dalam lima tahun terakhir, seiring meningkatnya ketergantungan pada open-source dan integrasi API eksternal.
Identitas Non-Manusia Lebih Berisiko
Temuan penting lainnya adalah identitas non-manusia—seperti agen AI dan service account—kini menyumbang risiko lebih tinggi (52%) dibanding pengguna manusia (37%). Kombinasi izin akses berlebihan dan kontrol yang terfragmentasi menciptakan apa yang disebut laporan ini sebagai “toxic combinations”.
Sebanyak 18% organisasi bahkan memberikan izin administratif kepada layanan AI tanpa audit rutin. Artinya, penyerang hanya perlu mengeksploitasi satu identitas dengan hak istimewa tinggi untuk mendapatkan akses luas.
Lebih jauh, 65% organisasi menyimpan “ghost secrets”—kredensial cloud yang tidak digunakan atau tidak pernah diperbarui. Dari jumlah itu, 17% terkait langsung dengan hak administratif kritis. Selain itu, 49% identitas dengan izin berlebihan tingkat kritis ternyata dalam kondisi dorman—tidak aktif namun tetap memiliki akses.
“Sistem AI yang tertanam dalam infrastruktur menimbulkan risiko kritis yang harus ditangani oleh para CISO dan tim pertahanan, selain juga mengantisipasi ancaman baru yang muncul dari teknologi AI maupun cloud. Kurangnya visibilitas dan tata kelola membuat tim berada dalam posisi rentan terhadap paparan risiko baru, termasuk identitas di cloud yang memiliki hak akses berlebihan,” kata Liat Hayun, Senior Vice President of Product Management and Research di Tenable.
Ia menambahkan, “Dengan berfokus pada jalur eksposur terpadu, organisasi dapat berhenti mengelola ‘utang keamanan’ dan mulai mengelola risiko bisnis yang nyata.”
Risiko Tak Terlihat di Balik AI
Kesenjangan paparan AI—AI Exposure Gap—disebut sebagai bentuk risiko yang sebagian besar tidak terlihat. Ia muncul di berbagai lapisan: aplikasi, infrastruktur, identitas, agen otomatis, hingga data. Tanpa visibilitas menyeluruh, organisasi berpotensi menumpuk apa yang disebut sebagai security debt—utang keamanan akibat akumulasi celah yang belum ditangani.
Untuk mengurangi risiko, Tenable merekomendasikan pendekatan berbasis kontrol identitas dan prinsip least privilege—membatasi hak akses hanya sesuai kebutuhan. Organisasi juga didorong meniadakan static secrets, memperketat manajemen kredensial, serta menyatukan visibilitas antara paket kode, mesin virtual, akses identitas, dan lingkungan cloud.
Laporan ini disusun berdasarkan analisis telemetri anonim dari berbagai lingkungan cloud publik dan enterprise yang dikumpulkan antara April hingga Oktober 2025, dengan temuan AI diperluas hingga Desember 2025.
Manajemen Eksposur Jadi Kunci
Exposure Management—konsep yang diusung Tenable—menekankan identifikasi, evaluasi, dan prioritas risiko dari seluruh titik masuk yang bisa dieksploitasi penyerang. Ini mencakup bukan hanya kerentanan perangkat lunak (CVE), tetapi juga salah konfigurasi, izin akses berlebihan, celah cloud, hingga aset “bayangan” hasil integrasi AI dan rantai pasok pihak ketiga.
Di tengah akselerasi transformasi digital, laporan ini menjadi pengingat bahwa kecepatan inovasi tanpa tata kelola yang kuat hanya akan memperluas permukaan serangan. AI mungkin meningkatkan produktivitas, tetapi tanpa kontrol yang tepat, ia juga mempercepat risiko.
Digionary:
● AI Exposure Gap: Kesenjangan paparan risiko akibat integrasi AI yang melampaui kemampuan mitigasi keamanan.
● Cloud Workload: Beban kerja aplikasi atau sistem yang berjalan di lingkungan cloud.
● CVE (Common Vulnerabilities and Exposures): Daftar standar kerentanan keamanan perangkat lunak.
● Exposure Management: Praktik mengidentifikasi dan memprioritaskan seluruh potensi celah keamanan.
● Ghost Secrets: Kredensial cloud yang tidak digunakan atau tidak diperbarui.
● Least Privilege: Prinsip pembatasan hak akses hanya sesuai kebutuhan minimum.
● Model Context Protocol (MCP): Kerangka integrasi model AI ke dalam aplikasi.
● Supply Chain Attack: Serangan siber melalui rantai pasok perangkat lunak atau vendor pihak ketiga.
#CyberSecurity #AIExposureGap #Tenable #CloudSecurity #SupplyChainAttack #KeamananSiber #ArtificialIntelligence #ManajemenRisiko #ExposureManagement #IdentitasDigital #CloudRisk #CVE #GhostCredentials #DigitalTransformation #KeamananCloud #ZeroTrust #SecurityDebt #ITSecurity #DataProtection #Teknologi2026
