Survei terhadap 107 perusahaan dengan lebih dari 100 karyawan mengungkapkan bahwa adopsi AI agent berlangsung lebih cepat daripada penerapan kontrol keamanan yang memadai. Lebih dari separuh responden, yakni 54 persen, melaporkan telah mengalami insiden keamanan AI agent yang terkonfirmasi atau nyaris terjadi. Temuan ini menyoroti kesenjangan struktural antara otonomi yang diberikan kepada AI agent dan mekanisme perlindungan yang tersedia.
Hanya sekitar sepertiga perusahaan yang memberikan identitas terpisah dan terkelola bagi setiap AI agent. Sebagian besar masih mengizinkan berbagi kredensial atau menggunakan kunci API bersama serta akun layanan manusia. Praktik ini memperbesar dampak potensial jika satu agent mengalami kompromi, karena akses yang dimiliki menjadi lebih luas daripada seharusnya.
Dalam konteks arsitektur zero-trust yang semakin diadopsi perusahaan modern, pendekatan berbagi kredensial ini bertentangan dengan prinsip hak akses minimal. Ketiadaan isolasi untuk agent berisiko tinggi semakin memperburuk situasi, dengan hanya 30 persen perusahaan yang menerapkan sandbox bagi agent tersebut.
Mayoritas perusahaan mengandalkan alat keamanan bawaan dari penyedia model seperti OpenAI, Google, dan Microsoft. Tingkat kepuasan terhadap solusi ini tercatat tinggi, rata-rata 4,2 dari skala 5. Namun, alokasi anggaran keamanan untuk AI agent masih terbatas, mayoritas di bawah 10 persen dari total anggaran keamanan.
Analisis lebih lanjut menunjukkan bahwa perusahaan yang telah mengalami insiden cenderung lebih cepat merencanakan pergantian alat dalam 12 bulan ke depan. Hal ini mengindikasikan bahwa kenyamanan saat ini bersifat sementara dan dapat berubah ketika risiko operasional meningkat.
Dampaknya terhadap kepatuhan regulasi juga patut diperhatikan. Di tengah tren regulasi data yang ketat di berbagai yurisdiksi, kurangnya atribusi jelas akibat berbagi kredensial dapat menyulitkan audit dan pelaporan insiden. Perusahaan yang beroperasi lintas batas berisiko menghadapi sanksi jika tidak dapat membuktikan kontrol yang memadai.
Selain itu, pertumbuhan ekosistem AI agent yang pesat di sektor manufaktur dan layanan kesehatan menuntut pendekatan keamanan yang lebih spesifik. Tanpa identitas terpisah dan isolasi yang memadai, potensi gangguan terhadap proses kritis menjadi lebih tinggi.
Secara keseluruhan, data menunjukkan bahwa perusahaan perlu mempercepat transisi dari solusi bawaan menuju kontrol yang dirancang khusus untuk agent otonom. Langkah ini penting agar adopsi AI tidak diimbangi dengan peningkatan paparan risiko yang tidak terkendali.
