Jakarta – Investasi dalam kecerdasan buatan (AI) di Indonesia sedang tumbuh signifikan. Investasi dalam Generative AI di sektor swasta misalnya, menurut catatan Kementerian Komunikasi dan Digital naik enam kali lipat hingga 2023.

Masalahnya, menurut temuan F5, banyak perusahaan belum mengamankan Application Programming Interface (API) saat membangun sistem AI mereka. 

Dalam konteks AI, API berfungsi sebagai jembatan antara sistem cerdas dan layanan yang perlu diaksesnya. “A world of AI is a world of APIs. AI dan API sangat saling berhubungan, dan perlombaan pengembangan AI menciptakan risiko berlebih karena kurangnya penekanan pada keamanan,” kata Chuck Herrin, Field Chief Information Security Officer, F5 di Jakarta, baru-baru ini .

Chuck Herrin memaparkan temuan-temuan dari laporan 2024 Strategic Insights: API Security in APAC Report yang berkaitan dengan Indonesia. Laporan itu mendapati sejumlah hal yang harus menjadi perhatian bisnis di Indonesia, yang terkait dengan keamanan API. 

Di Indonesia ternyata lebih banyak terjadi peningkatan penggunaan protokol komunikasi representational state transfer (REST) API yang menyebabkan kerentanan, salah satunya adalah konfigurasi yang tidak tepat dari sisi keamanan (security misconfiguration).

Sebabnya banyak API yang bergantung hanya pada keamanan jaringan dan sering kali diasumsikan berada pada lingkungan yang tepercaya, sehingga meningkatkan potensi risiko terhadap keamanan data dan akses API. 

Di Indonesia juga kerap terjadi masalah konsumsi sumber daya yang tak terbatas, disebabkan oleh tingginya pengadopsian Composite API dan Internal API. 

Lalu adanya masalah Server-Side Request Forgery (SSRF) akibat penggunaan protokol Remote Procedure Call (RPC) dan REST yang ekstensif. Protokol ini rentan mengalami serangan SSRF jika URL yang disuplai oleh pengguna tidak divalidasi dengan benar.

Laporan itu juga mendapati perusahaan-perusahaan di Indonesia lebih memprioritaskan kontrol akses, pengujian keamanan, dan perlindungan runtime untuk keamanan API. Masalahnya banyak solusi keamanan API yang bersifat pasif dan tidak efektif dalam mencegah serangan.

Terakhir, perusahaan di Indonesia lebih menekankan solusi AI ML, API Gateway, dan Code Security untuk perlindungan API. Banyak perusahaan Indonesia sangat tergantung pada API Gateway, yang memang bermanfaat tetapi sangat penting untuk memahami keterbatasannya.

Padahal API gateway tidak memberikan perlindungan penuh terhadap serangan API yang umum terjadi seperti Broken Object Level Authorization (BOLA), sehingga perlu pendekatan keamanan yang lebih komprehensif.

Keamanan API dan AI adalah dua sisi mata uang. API saat ini sudah menjadi vektor serangan utama, sehingga perusahaan tak mungkin bisa mengamankan model-model AI mereka tanpa mengamankan API.

Di sisi lain, AI menambahkan permukaan risiko kepada banyak perusahaan dan mengekspos mereka kepada ancaman-ancaman baru seperti prompt injection, model denial of service, kebocoran informasi, dan sebagainya. 

Padahal pengadopsian AI sedang terjadi dalam kecepatan yang belum pernah terjadi sebelumnya. Ambil contoh platform seperti ChatGPT yang mencapai 100 juta pengguna dalam waktu singkat. Penerapan AI bukan hanya sekadar hype. Bisnis secara aktif mengintegrasikannya ke dalam produksi mereka.

Pengadopsian AI juga tak sekadar teori. Perusahaan mendedikasikan sumber daya yang signifikan sekitar 18% dari anggaran IT pada tahun 2025, dibandingkan dengan hanya 5,6% untuk keamanan. 

F5 juga memprediksi bahwa 56% aplikasi akan segera mengintegrasikan AI dalam berbagai bentuk pada 2027, sehingga membutuhkan pertahanan yang kuat. 

Herrin menuturkan bahwa F5 memainkan peran penting dalam infrastruktur AI, mengelola trafik, routing, dan load balancing untuk cluster GPU yang sangat besar. Dengan produk-produk yang sudah mapan seperti BIG-IP dan NGINX, F5 telah tertanam kuat dalam revolusi AI, memastikan kinerja dan keamanan dalam skala besar.

F5 meluncurkan AI gateway untuk melindungi model dari serangan-serangan yang muncul, seperti distillation attack yang memungkinkan musuh mengekstraksi kekayaan intelektual yang berharga. Lalu ada serangan transfer attack, yang memungkinkan serangan berbiaya rendah yang nantinya dapat digunakan untuk melawan model asli. 

Serangan lainnya adalah Best of N Jailbreaking, yang mengeksploitasi randomness yang melekat pada model AI. Ketika Anda mengajukan pertanyaan yang sama kepada model bahasa beberapa kali, Anda sering kali mendapatkan jawaban yang sedikit berbeda karena sifat AI yang probabilistik. 

“Penyerang dapat mengeksploitasi hal itu dengan mengulang permintaan yang berbeda secara halus untuk mematahkan model. Mereka juga dapat memanipulasi input, seperti menyesuaikan nada suara atau kecepatan berbicara, untuk mengelabui model yang memproses audio atau gambar,” kata Herrin.

Herrin mengatakan AI gateway F5 mampu bertahan dari serangan-serangan ini dengan memberikan respons yang konsisten terhadap permintaan yang berulang-ulang, sehingga menghemat biaya dan melindungi dari manipulasi.

F5 akan membantu perusahaan-perusahaan di Indonesia dalam membangun sistem keamanan AI dari awal, dengan menggunakan NGINX Ingress Controller dan API gateway serta web server yang paling populer di dunia. 

Editor: Imam Suhartadi (imam_suhartadi@investor.co.id)

LIVE STREAMING

Saksikan tayangan informasi serta analisis ekonomi, keuangan, dan pasar modal di IDTV