Lanskap keamanan siber global kini tengah menghadapi tantangan baru yang disebut sebagai AI Exposure Gap, sebuah celah kerentanan yang muncul akibat laju adopsi kecerdasan buatan yang tidak sebanding dengan kemampuan mitigasi risiko.
Berdasarkan laporan terbaru Tenable Cloud and AI Security Risk Report 2026, banyak organisasi kini mewarisi risiko siber lebih cepat daripada kemampuan mereka untuk mengatasinya.
Kecepatan pengembangan teknologi (engineering velocity) yang didorong oleh penggunaan AI, kode pihak ketiga, serta skala cloud yang masif, telah melampaui kemampuan manusia dalam menilai dan memprioritaskan ancaman sebelum para aktor peretas mengeksploitasinya.
Fenomena AI Exposure Gap ini merupakan bentuk kerentanan yang sebagian besar tidak terlihat namun tersebar luas di berbagai aplikasi, infrastruktur, identitas, hingga data perusahaan.
Analisis mendalam Tenable terhadap lingkungan cloud mengidentifikasi adanya risiko parah di empat area utama yang menuntut perhatian segera, yakni postur keamanan AI, vektor serangan rantai pasok (supply chain), implementasi hak akses minimum (least privilege), serta kerentanan beban kerja cloud.
Laporan ini menjadi alarm bagi para pemimpin bisnis dan tim keamanan untuk segera mengubah paradigma pengelolaan risiko mereka dari sekadar mengurusi “utang keamanan” menjadi manajemen risiko bisnis yang nyata dan terpadu.
Salah satu temuan paling mengejutkan dalam riset ini adalah betapa dalamnya integrasi AI yang terjadi tanpa pengawasan keamanan terpusat, di mana sekitar 70% organisasi tercatat telah mengintegrasikan setidaknya satu paket pihak ketiga berbasis AI atau Model Context Protocol (MCP).
Kondisi ini diperparah dengan fakta bahwa 86% organisasi meng-host paket kode pihak ketiga yang memiliki kerentanan tingkat kritis. Bahkan, sekitar satu dari delapan perusahaan telah mengaktifkan paket kode yang memiliki rekam jejak pernah disusupi oleh ancaman siber berbahaya seperti worm s1ngularity atau Shai-Hulud, yang menjadikan rantai pasok perangkat lunak sebagai sumber utama paparan risiko cloud yang persisten.
Masalah identitas juga menjadi titik lemah baru yang sangat krusial di tahun 2026. Laporan Tenable mengungkapkan bahwa identitas non-manusia, seperti AI agents dan akun layanan, kini mewakili risiko yang lebih tinggi (52%) dibandingkan pengguna manusia (37%).
Hal ini menciptakan apa yang disebut sebagai “kombinasi beracun” antara izin akses yang berlebihan dan konektivitas yang tidak terpantau. Sekitar 18% organisasi bahkan memberikan izin administratif kepada layanan AI yang jarang diaudit, sehingga secara tidak langsung menyediakan “katalog hak akses” yang siap diklaim oleh penyerang.
Selain itu, ditemukan pula fenomena ghost secrets atau kredensial cloud yang tidak digunakan atau tidak pernah diperbarui, di mana hampir separuh dari identitas dengan hak akses berlebihan tersebut dalam kondisi tidak aktif atau dormant.
Liat Hayun, Senior Vice President of Product Management and Research di Tenable, menekankan bahwa kurangnya visibilitas dan tata kelola membuat tim keamanan berada di bawah bayang-bayang eksploitasi baru.
“Untuk mengelola risiko yang terus berkembang ini, organisasi wajib mengamankan proses integrasi AI melalui kontrol identitas yang sangat ketat dan visibilitas menyeluruh,” kata Hayun.
Langkah-langkah strategis seperti menerapkan prinsip hak akses minimum untuk peran AI, menetralkan risiko identitas “hantu”, serta menyatukan visibilitas di seluruh paket kode dan lingkungan hybrid cloud menjadi kunci utama.
Di era ini, manajemen paparan bukan lagi sekadar menambal celah perangkat lunak, melainkan memprioritaskan setiap titik masuk yang bisa dimanfaatkan peretas, mulai dari miskonfigurasi hingga aset bayangan (shadow assets) yang diciptakan oleh AI.
