API Tak Aman Jadi Ancaman Baru di Era Agentic AI, Ini Risiko Besar di Indonesia

Liputan6.com, Jakarta - Di tengah pesatnya adopsi Agentic AI di kawasan Asia Pasifik, termasuk Indonesia, satu celah kritis justru makin mengkhawatirkan: keamanan Application Programming Interface (API). Teknologi yang dulu hanya menjadi “pintu masuk data” itu kini telah berubah menjadi penghubung utama, jalur instruksi AI secara otonom.

Dalam sesi Media Roundtable F5 pada Selasa (9/12/2025) di Jakarta, Country Manager F5 Indonesia Surung Sinamo, menegaskan bahwa API kini menjadi backbone (tulang punggung) modern aplikasi dan penggerak utama operasional AI.

Mulai dari pemesanan transportasi, transaksi e-commerce, hingga proses pembayaran--semuanya bergantung pada serangkaian API yang saling terhubung. Karena sifatnya yang terbuka, API juga menjadi jalur serangan yang paling mudah dieksploitasi.

“API itu sebenarnya adalah backbone dari modern application. Di belakang semua aplikasi yang kita pakai, semuanya menggunakan API,” Surung menjelaskan.

Ancaman Meningkat: Shadow API hingga Serangan Malware

Studi terbaru F5 bertajuk 2025 Strategic Imperatives: Securing APIs for the Age of Agentic AI in APAC, menunjukkan banyak organisasi Indonesia sadar akan pentingnya keamanan API, namun hanya sedikit yang memiliki tim khusus dan mekanisme pengawasan yang memadai.

Kondisi ini semakin berisiko dengan maraknya Shadow API dan Zombie API, yaitu API yang dibuat untuk kebutuhan tertentu tetapi lupa dinonaktifkan dan akhirnya menjadi celah serangan.

Surung mencontohkan, sejumlah insiden besar di Indonesia, mulai dari kebocoran data lembaga pemerintahan hingga serangan ransomware, dipicu oleh eksploitasi API yang tidak terlindungi. API yang tidak memiliki spesifikasi keamanan yang jelas membuat pelaku kejahatan mudah menyisipkan malware melalui payload (data yang berbahaya).

“Jika API tidak memiliki aturan dan tidak dikelola dengan baik, penyerang bisa memasukkan data berbahaya melalui API, dan inilah yang menyebabkan banyak kebocoran data saat ini”, ujar Surung.

Agentic AI yang mampu merencanakan dan menjalankan tugas secara otomatis tanpa campur tangan manusia, memperbesar risiko baru.

AI agent dapat terhubung ke berbagai platform sekaligus, mulai dari booking hotel hingga melakukan transaksi keuangan dan tanpa kontrol ketat, ia dapat mengambil keputusan yang salah atau menyebarkan aksi berbahaya.

“Bedanya Agentic AI, dia tidak hanya menjawab pertanyaan. Dia bisa merencanakan dan mengeksekusi hingga menghasilkan output. Karena dia bersifat autonomous, risikonya jauh lebih besar kalau tidak dikontrol,” kata Surung.

Kesenjangan Utama: Minim Discovery hingga Minim Governance

F5 menemukan empat masalah utama di Indonesia dan kawasan APAC:

• Kurangnya visibilitas API: Banyak perusahaan tidak tahu berapa total API yang mereka gunakan dan apa saja yang aktif.
• Ownership yang terfragmentasi: API mudah dibuat oleh tim DevOps atau aplikasi, namun tidak ada pemilik jelas yang bertanggung jawab terhadap keamanannya. Akibatnya, ketika terjadi insiden, CISO atau Data Privacy Officer yang disorot, meski bukan pemilik API tersebut.
• Keamanan tidak diterapkan sejak tahap awal development: Mayoritas API baru dites setelah aplikasi berjalan, sehingga celah baru ditemukan setelah dimanfaatkan pihak berbahaya.
• Agentic AI memperbesar celah tata kelola: Sistem AI yang bekerja secara mandiri dapat menemukan dan memanggil API tanpa pengawasan manusia. Tanpa kontrol yang jelas, kondisi ini memperluas risiko penyalahgunaan, membuat garis kepemilikan semakin kabur, dan meningkatkan potensi eksposur serangan.

Surung menyebut sektor perbankan sebagai yang paling siap, karena sudah lama mengandalkan API untuk layanan open banking dan transaksi lintas platform. Namun untuk sektor lain, termasuk pemerintahan, tingkat kematangannya masih tertinggal.

“Mayoritas perusahaan tidak punya inventory API yang lengkap,” paparnya.

Butuh Platform Terpadu

F5 menekankan perlunya platform keamanan API yang mampu melakukan discovery otomatis, dokumentasi spesifikasi API, deteksi anomali berbasis AI, hingga proteksi runtime di seluruh lingkungan, on-premise, cloud, maupun edge.

Pendekatan secara keseluruhan dianggap tidak lagi relevan menghadapi kecepatan dan kompleksitas Agentic AI.