:strip_icc()/kly-media-production/medias/5438274/original/083064300_1765278633-WhatsApp_Image_2025-12-09_at_17.44.57.jpeg)
Di tengah pesatnya adopsi kecerdasan buatan agentik (Agentic AI) di kawasan Asia Pasifik, termasuk Indonesia, celah keamanan pada Application Programming Interface (API) telah menjadi ancaman baru yang semakin mudah dieksploitasi. API, yang dulunya hanya berfungsi sebagai "pintu masuk data," kini telah berubah menjadi penghubung utama dan jalur instruksi AI secara otonom. Hal ini menghadirkan risiko besar bagi keamanan siber, mengingat kemampuan Agentic AI yang tidak hanya menjawab pertanyaan, tetapi juga merencanakan dan mengeksekusi tugas secara mandiri, berpotensi mengakses data sensitif, berinteraksi dengan sistem tidak aman, atau bahkan dimanipulasi oleh peretas.
Laporan terbaru dari F5, berjudul "2025 Strategic Imperatives: Securing APIs for the Age of Agentic AI in APAC," menyoroti bahwa API telah menjadi tulang punggung aplikasi modern dan pendorong utama operasional AI. Mulai dari pemesanan transportasi, transaksi e-commerce, hingga pembayaran, semuanya bergantung pada API yang saling terhubung. Namun, sifatnya yang terbuka menjadikan API sebagai jalur serangan yang paling mudah dieksploitasi.
Studi ini menemukan empat masalah utama di Indonesia dan kawasan APAC terkait keamanan API. Pertama, kurangnya visibilitas API, di mana banyak organisasi tidak memiliki inventaris lengkap mengenai total API yang mereka gunakan dan mana saja yang aktif. Kedua, kepemilikan API yang terfragmentasi; API sering dibuat oleh tim DevOps atau aplikasi tanpa pemilik yang jelas bertanggung jawab atas keamanannya, sehingga saat insiden terjadi, CISO atau Data Privacy Officer menjadi sorotan meskipun bukan pemilik langsung. Ketiga, keamanan tidak diterapkan sejak tahap awal pengembangan, di mana mayoritas API baru diuji setelah aplikasi berjalan, sehingga celah ditemukan setelah dimanfaatkan pihak berbahaya. Keempat, Agentic AI memperbesar celah tata kelola karena sistem AI yang bekerja mandiri dapat menemukan dan memanggil API tanpa pengawasan manusia, memperluas risiko penyalahgunaan dan mengaburkan garis kepemilikan.
F5 juga menyoroti peningkatan ancaman dari Shadow API dan Zombie API, yaitu API yang dibuat untuk kebutuhan tertentu tetapi lupa dinonaktifkan, akhirnya menjadi celah serangan. Selain itu, API berbasis AI juga rentan karena banyak yang dapat diakses secara terbuka dan menggunakan mekanisme autentikasi yang lemah. Ancaman lain termasuk salah konfigurasi API yang membuka jalan bagi serangan, bahkan jika API itu sendiri bebas kerentanan, serta risiko dari penggunaan pustaka API pihak ketiga dan sumber terbuka yang mungkin telah terinfeksi malware.
Beberapa insiden besar di Indonesia, mulai dari kebocoran data lembaga pemerintahan hingga serangan ransomware, dipicu oleh eksploitasi API yang tidak terlindungi. Sepanjang tahun 2024, tercatat sejumlah serangan siber besar di Indonesia. Kelompok peretas Stormous menyerang PT Kereta Api Indonesia (KAI) dan berhasil mencuri puluhan ribu data karyawan dan pelanggan. Biznet juga menjadi korban serangan siber oleh ancaman dari dalam yang membocorkan 380 ribu data pelanggan. Indodax mengalami gangguan sistem akibat peretasan yang menyebabkan kerugian senilai USD22 juta. Data 4,7 juta Pegawai Negeri Sipil dari Badan Kepegawaian Negara (BKN) juga dilaporkan bocor, serta Pusat Data Nasional Sementara (PDNS) yang lumpuh akibat serangan ransomware Lockbit 3.0. Kasus kebocoran data besar lainnya termasuk Tokopedia pada tahun 2020 dengan lebih dari 90 juta akun pengguna, BPJS Kesehatan pada 2021 dengan 279 juta data peserta, dan Dukcapil pada 2022 dengan 105 juta data penduduk. Pada tahun 2023, Bank Syariah Indonesia juga mengalami serangan ransomware yang mengekspos 2,3 juta data nasabah.
Para pakar keamanan siber, seperti Country Manager F5 Indonesia Surung Sinamo, menegaskan pentingnya tata kelola dan perlindungan API yang memadai. Tanpa kontrol yang jelas, Agentic AI dapat mengambil keputusan yang salah atau menyebarkan aksi berbahaya. Pratama Persadha dari CISSReC memprediksi serangan siber tahun 2025 akan lebih canggih dengan penggunaan Agen AI yang dapat mengotomatisasi serangan siber, pengintaian, dan eksploitasi, meningkatkan kecepatan dan ketepatan serangan, serta beradaptasi secara real-time.
Untuk menghadapi ancaman ini, dibutuhkan pendekatan keamanan yang modern dan proaktif. F5 merekomendasikan lima imperatif strategis, termasuk menetapkan penanggung jawab C-Level untuk tata kelola terpadu API dan memprioritaskan kontrol siklus hidup API dari penemuan otomatis, kebijakan akses, hingga proteksi runtime. Industri perbankan disebut paling siap karena telah lama mengandalkan API, namun sektor lain termasuk pemerintahan masih tertinggal. Perusahaan juga harus bergeser dari pertahanan reaktif menjadi tangguh, dengan mengintegrasikan keamanan di setiap lapisan sistem, mulai dari pengembangan AI, operasional cloud, hingga manajemen rantai pasokan. Penggunaan AI sendiri juga dapat menjadi solusi untuk deteksi ancaman yang lebih canggih dan respons otomatis. Indonesia juga perlu memperkuat Badan Siber dan Sandi Negara (BSSN) serta meningkatkan kapasitas sumber daya manusia di bidang keamanan siber. Pada akhirnya, keseimbangan antara inovasi Agentic AI dengan tata kelola yang kuat dan pengawasan manusia menjadi kunci untuk menjaga kepercayaan dan kelangsungan bisnis di era digital yang semakin mandiri.
