Lonjakan Agentic AI Picu Peningkatan Risiko Siber: F5 Peringatkan Kesenjangan Keamanan API di Asia Pasifik

Pesatnya adopsi Agentic AI, sistem kecerdasan buatan yang dirancang dengan tingkat operasional otonom tinggi, di kawasan Asia Pasifik (APAC) memunculkan tantangan baru dalam keamanan siber. 

Laporan terbaru F5 bertajuk 2025 Strategic Imperatives: Securing APIs for the Age of Agentic AI in APAC mengungkap API, yang kini menjadi tulang punggung integrasi AI, masih memiliki celah keamanan besar yang dapat menghambat ambisi transformasi digital di kawasan ini.

Lebih dari 80% organisasi di APAC, termasuk Indonesia, telah memanfaatkan API untuk menjalankan model AI dan machine learning. API yang awalnya hanya berfungsi sebagai penghubung data sederhana, kini berubah menjadi titik eksekusi penting bagi sistem Agentic AI untuk mengenali lingkungan, mengambil keputusan, hingga menjalankan tindakan secara otonom. 

Tanpa kontrol yang kuat, kesalahan izin akses atau tata kelola yang lemah dapat berujung pada aksi tak terduga yang merugikan perusahaan dalam skala besar.

Meski 63% organisasi di APAC, dan 76% di Indonesia, menempatkan keamanan API sebagai aspek “sangat penting”, implementasinya belum sejalan dengan urgensi tersebut. 

Hanya 42% organisasi memiliki tata kelola API yang matang, dan hanya 22% yang memiliki tim khusus untuk keamanan API.

Di Indonesia, kondisinya sedikit lebih baik: 51% organisasi sudah memiliki tim API security, namun 30–40% masih berada pada tahap awal tata kelola.

“Riset kami menunjukkan bahwa banyak organisasi di APAC belum sepenuhnya siap untuk mengamankan API dalam skala dan kecepatan adopsi AI saat ini. Kesenjangan ini dengan cepat dapat berubah menjadi celah berbahaya di era Agentic AI,” ujar Manoj Menon, Founder dan CEO Twimbit. 

Ia menekankan pentingnya pengawasan menyeluruh untuk menjaga kelangsungan bisnis, kepatuhan, dan kepercayaan pelanggan.

Mohan Veloo, Chief Technology Officer F5 untuk Asia Pasifik, China, dan Jepang, Mohan Veloo menambahkan, kecepatan Agentic AI menuntut API security menjadi fondasi utama operasional. 

“Tata kelola, visibilitas, serta penegakan kebijakan harus terintegrasi langsung ke dalam alur kerja API, sehingga setiap interaksi—baik manusia maupun mesin—selalu terautentikasi dan terpantau secara real-time,” katanya.

Satu dari tiga organisasi APAC menilai unrestricted access to sensitive flow (OWASP API6) sebagai ancaman terbesar bagi keamanan API. Kekhawatiran lain mencakup konsumsi sumber daya tanpa batas (OWASP API4) dan salah konfigurasi keamanan (OWASP API8).

Di Indonesia, karakter risikonya berbeda. Broken authentication (32%) dan server-side request forgery (31%) menjadi ancaman utama, menandakan meningkatnya risiko eksploitasi langsung. 

API resource consumption berlebih (30%), broken object-level authorization (29%), dan function-level authorization (28%) menunjukkan perlunya penguatan kontrol akses.

Ancaman lainnya datang dari Shadow API dan Zombie API yang tidak terdokumentasi. Sebanyak 36% perusahaan APAC menganggapnya berisiko tinggi, namun hanya 38% yang memiliki proses efektif untuk mendeteksinya. 

Di Indonesia, ancamannya bahkan lebih besar, 41% menganggap Shadow API sebagai risiko signifikan, tetapi hanya 53% yang dapat mendeteksi API tidak terkelola tersebut.

Kendati risiko terus meningkat, kesiapan organisasi masih tertinggal. Hanya 36% perusahaan di APAC yang merasa siap menghadapi risiko API utama menurut standar OWASP. 

Banyak perusahaan masih mengandalkan kontrol perimeter lama seperti Web Application Firewall (51%) dan Identity and Access Management (42%), yang dinilai tidak lagi memadai untuk interaksi API yang semakin dinamis.

Di Indonesia, 63% organisasi mengaku telah memiliki kesiapan lanjut, namun kesiapan penuh terhadap risiko seperti broken authentication (18%) dan resource consumption (23%) masih rendah.

F5 menilai bahwa investasi keamanan API, yang diproyeksikan meningkat oleh 69% perusahaan APAC dan 84% perusahaan Indonesia dalam setahun ke depan, harus diiringi tata kelola terpadu agar tidak menciptakan upaya keamanan yang terpecah-pecah.

Lima langkah penting yang direkomendasikan antara lain:

1. Penunjukan penanggung jawab C-Level untuk tata kelola API menyeluruh.
2. Kontrol lifecycle API komprehensif dari discovery hingga pengujian.
3. Observabilitas berbasis agen untuk memantau pola perilaku otonom secara real-time.
4. Penerapan kebijakan berbasis OWASP untuk semua penggunaan API oleh manusia maupun agen AI.
5. Pengaitan perilaku API dengan tujuan agent dan strategi bisnis, guna memastikan tindakan sistem otonom selaras dengan kebijakan perusahaan.

Riset Twimbit dilakukan pada semester pertama 2025 dan melibatkan 1.000 profesional keamanan, DevOps, SecOps, dan pengembang aplikasi dari 10 negara APAC—termasuk Indonesia.