AI Agents: Identitas Gelap Berikutnya yang Kuat, Tak Terlihat, dan Tak Terkelola
AI agents kini menjadi gelombang berikutnya dalam dunia identitas digital yang disebut sebagai identity dark matter—identitas yang kuat, tak terlihat, dan tak terkelola dengan baik di dalam perusahaan. Menurut survei terbaru, sekitar 70% perusahaan sudah menjalankan AI agents dalam produksi, sementara 23% lainnya berencana mengadopsinya di tahun 2026. Namun, lemahnya tata kelola Manajemen Identitas dan Akses (IAM) berpotensi menimbulkan risiko besar berupa identitas gelap dan eksposur lintas cloud yang sulit dikendalikan.
Peran Model Context Protocol (MCP) dalam Pengembangan AI Agents
Model Context Protocol (MCP) dengan cepat menjadi metode praktis untuk menggeser Large Language Models (LLM) dari sekadar fungsi chat menjadi agen AI yang dapat melakukan tugas nyata. MCP menyediakan akses terstruktur ke aplikasi, API, dan data, memungkinkan agen AI yang dipicu prompt untuk mengambil informasi, melakukan aksi, dan mengotomatisasi alur kerja bisnis secara menyeluruh.
Contoh nyata di lapangan termasuk asisten horizontal dan agen vertikal khusus seperti Microsoft Copilot, bot ServiceNow, Zendesk, dan Salesforce Agentforce. Perkembangan ini sejalan dengan laporan Gartner "Market Guide for Guardian Agents" yang mencatat bahwa adopsi AI agents di perusahaan jauh lebih cepat dibandingkan kematangan tata kelola dan kebijakan yang mengaturnya.
Identitas Gelap: Ancaman Tak Terlihat dari AI Agents
AI agents tidak seperti manusia yang melalui proses HR, mengajukan permintaan akses, atau menonaktifkan akun setelah proyek selesai. Mereka sering tidak terlihat dalam sistem IAM tradisional, sehingga menjadi identitas gelap yang berada di luar jangkauan tata kelola. Agen-agen ini cenderung mencari jalur akses termudah dan tercepat, menggunakan akun lokal dalam aplikasi, token lama, kunci API, atau metode otentikasi alternatif yang sudah ada.
Survei Team8 CISO Village 2025 juga menemukan bahwa dua pertiga perusahaan membangun AI agents secara in-house, yang mempercepat proses adopsi MCP. Namun, lingkungan hybrid memperbesar tantangan pengelolaan karena kontrol platform native dan perlindungan vendor umumnya terbatas dalam cloud atau platform masing-masing, sehingga interaksi lintas cloud antara agen AI tetap tidak terawasi.
Bagaimana AI Agents Mengeksploitasi Identitas Gelap
AI agent yang otonom dan mampu menjalankan tugas multi-langkah dengan sedikit campur tangan manusia memang asisten yang sangat membantu, tetapi juga berisiko tinggi secara siber. Analis industri memperkirakan sebagian besar pelanggaran tidak berasal dari serangan eksternal, melainkan pelanggaran kebijakan internal seperti perilaku AI yang salah arah atau berbagi informasi berlebihan.
- Enumerasi Aset: Agen menjelajah aplikasi dan integrasi untuk menemukan pengguna, token, dan jalur otentikasi alternatif.
- Mencoba Jalur Termudah: Menggunakan akun lokal, kredensial lama, dan token jangka panjang yang melewati proses persetujuan baru.
- Mengunci Akses "Cukup Baik": Dengan hak akses rendah pun bisa melakukan pivot seperti membaca file konfigurasi, menarik log, menemukan rahasia, hingga memetakan struktur organisasi.
- Upgrade Diam-Diam: Meningkatkan hak akses secara perlahan dengan token yang terlalu luas, entitlements usang, atau identitas dengan hak istimewa dorman.
- Bekerja dengan Kecepatan Mesin: Ribuan aksi kecil terjadi di banyak sistem secara cepat dan luas, sulit dideteksi manusia secara dini.
Risiko terbesar adalah dampaknya yang masif: satu identitas yang terlupakan dapat menjadi jalan pintas yang dipakai berulang kali di seluruh organisasi.
Risiko Tambahan dari AI Agents MCP
Selain potensi penyalahgunaan identitas gelap, AI agents berbasis MCP juga menimbulkan paparan tersembunyi yang ditemukan oleh Orchid Security:
- Akses Berlebihan: Agen diberi "god mode" agar tidak gagal, menjadi status default yang berbahaya.
- Penggunaan Tak Terlacak: Agen menjalankan alur kerja sensitif di tool dengan log parsial dan tidak terintegrasi dengan sponsor.
- Kredensial Statis: Token hardcoded yang tidak pernah diperbarui menjadi infrastruktur bersama di banyak agen.
- Blind Spot Regulasi: Auditor kesulitan menjawab siapa yang menyetujui akses, siapa yang menggunakan, dan data apa yang disentuh.
- Pergeseran Hak Istimewa: Agen mengumpulkan hak akses seiring waktu karena penghapusan hak lebih menakutkan daripada pemberian.
Gartner menekankan pentingnya konvergensi ketat antara IAM dan tata kelola informasi untuk mengatasi blind spot ini, termasuk klasifikasi data dinamis dan pemantauan perilaku agen secara real-time.
Prinsip Aman Mengadopsi AI Agents MCP
Untuk menghindari masalah seperti akun terlantar, hak istimewa berlebihan, shadow IT, dan aktivitas tak terdeteksi, perusahaan harus menerapkan prinsip dasar identitas pada AI agents. Gartner memperkenalkan konsep "guardian agents" atau sistem pengawas AI yang memantau dan mengatur batasan agen secara berkelanjutan.
- Pasangkan AI Agents dengan Sponsor Manusia: Setiap agen harus memiliki operator manusia yang bertanggung jawab. Akses agen harus berubah saat manusia terkait berganti peran atau keluar.
- Akses Dinamis dan Kontekstual: Hak istimewa agen tidak permanen, harus berbatas waktu, sadar sesi, dan berprinsip least privilege.
- Visibilitas dan Auditabilitas: Inventarisasi lengkap semua agen, termasuk shadow dan pihak ketiga, dengan audit trail yang tahan manipulasi serta kaitan jelas ke sponsor manusia.
- Tata Kelola Skala Perusahaan: Adopsi MCP harus menyeluruh pada sistem baru dan lama dalam satu fabric tata kelola konsisten, menghindari silo dan risiko vendor lock-in.
- Kebersihan IAM yang Ketat: Pengelolaan autentikasi, otorisasi, dan kontrol yang kuat baik di server aplikasi maupun MCP.
Gambaran Besar dan Kesempatan
AI agents bukan sekadar integrasi teknologi baru, melainkan perubahan signifikan dalam cara kerja perusahaan. Jika dibiarkan tanpa pengelolaan, mereka akan mengulangi pola identitas gelap yang sudah ada: akun lokal dalam aplikasi, identitas layanan usang, token jangka panjang, dan jalur otentikasi alternatif yang tidak terkendali.
Karena agen LLM didesain untuk efisiensi dan minim hambatan, mereka akan memilih jalur tercepat tanpa mempedulikan tata kelola. Jika token berlebihan atau akun admin terlantar "berfungsi", agen akan menggunakannya dan mengulanginya.
Dengan menjadikan AI agents sebagai identitas kelas pertama sejak awal—terdeteksi, terkelola, dan dapat diaudit—perusahaan dapat memanfaatkan potensi AI tanpa menciptakan blind spot yang berbahaya.
Perusahaan yang bergerak cepat dalam hal ini tidak hanya mengurangi permukaan serangan, tetapi juga bersiap menghadapi tuntutan regulasi dan operasional yang akan datang.
Analisis Redaksi
Menurut pandangan redaksi, munculnya AI agents sebagai identitas gelap menandai babak baru kompleksitas keamanan siber di era digital. Sementara teknologi ini menawarkan efisiensi luar biasa dan otomatisasi canggih, kurangnya tata kelola yang terintegrasi dan transparan bisa menjadi celah besar yang dimanfaatkan pelaku ancaman siber.
Yang sering terlewatkan adalah risiko internal yang justru paling dominan, berupa pelanggaran kebijakan akibat perilaku AI yang tidak terkontrol, bukan hanya serangan dari luar. Oleh karena itu, perusahaan harus segera mengadopsi solusi pengawasan AI yang tidak hanya memonitor aktivitas, tapi juga mengaitkan tindakan ke pemilik manusia yang bertanggung jawab.
Ke depan, pengawasan lintas cloud dan integrasi IAM dengan tata kelola data menjadi kunci agar AI agents bisa menjadi rekan kerja yang dapat dipercaya, bukan lubang hitam identitas yang berbahaya. Perusahaan yang mengantisipasi tren ini akan unggul dalam keamanan dan kepatuhan sekaligus memaksimalkan potensi AI dalam operasi mereka.
Kesimpulan
AI agents sudah hadir dan mengubah cara perusahaan bekerja. Tantangannya bukan lagi apakah akan menggunakan teknologi ini, melainkan bagaimana mengelolanya secara aman. Adopsi MCP yang aman memerlukan penerapan prinsip IAM klasik seperti least privilege, manajemen siklus hidup identitas, dan auditabilitas, untuk identitas non-manusia yang baru ini.
Jika identitas gelap adalah semua yang tidak bisa kita lihat dan kontrol, maka AI agents tak terkendali bisa menjadi sumbernya yang tumbuh paling cepat. Organisasi yang bertindak cepat untuk menerangi "dark matter" ini akan mampu bergerak cepat dengan AI tanpa mengorbankan kepercayaan, kepatuhan, dan keamanan.
Itulah sebabnya perusahaan seperti Orchid Security membangun infrastruktur identitas yang bertujuan menghilangkan dark matter dan membuat adopsi Agent AI aman untuk skala enterprise.
What's Your Reaction?
Like
0
Dislike
0
Love
0
Funny
0
Angry
0
Sad
0
Wow
0
