Minggu lalu, perusahaan AI Anthropic mengakui adanya insiden keamanan di mana draf posting blog dibocorkan ke Keberuntungan.
Postingan blog mencatat bahwa proyek barunya, “Claude Mythos,” dan model barunya, Capybara, mewakili “langkah perubahan” dalam asisten AI. Blog tersebut memuji “model tujuan umum dengan kemajuan yang berarti dalam penalaran, pengkodean, dan keamanan siber.”
Blog Anthropic juga memperingatkan hal itu: “Dalam persiapan untuk merilis Claude Capybara, kami ingin bertindak dengan sangat hati-hati dan memahami risiko yang ditimbulkannya - bahkan di luar apa yang kami pelajari dalam pengujian kami sendiri ... Secara khusus, kami ingin memahami potensi risiko jangka pendek dari model ini di bidang keamanan siber - dan membagikan hasilnya untuk membantu para pembela siber bersiap-siap.”
The konsep juga mencatat bahwa model baru ini “menandakan gelombang model yang akan datang yang dapat mengeksploitasi kerentanan dengan cara yang jauh melampaui upaya para pembela HAM.”
Claude Mythos dapat menjadi risiko besar bagi postur keamanan siber organisasi. Model baru ini akan mengikuti gelombang risiko yang terus meningkat yang disebabkan oleh AI, agen, dan identitas non-manusia (NHI) lainnya:
- Gartner menobatkan agentic AI sebagai tren teknologi teratas pada tahun 2025 dan memperkirakan 33% aplikasi perusahaan akan menyertakan agentic AI pada tahun 2028, naik dari kurang dari 1% pada tahun 2024.
- Penelitian lain menunjukkan bahwa NHI melebihi jumlah pengguna manusia dengan 45 banding 1di lingkungan DevOps.
- Sebuah survei baru-baru ini menemukan bahwa 60%perusahaan menyatakan kurangnya kepercayaan diri dalam kemampuan mereka untuk mengamankan NHI secara memadai.
Baik itu Claude Mythos secara khusus, ChatGPT, atau layanan agen lainnya, pembicaraan minggu lalu di Konferensi RSAC berfokus pada bagaimana AI mengubah lanskap ancaman.
Berikut ini adalah praktik terbaik yang kami sampaikan kepada pelanggan yang dapat membantu organisasi mempersiapkan diri untuk menggunakan AI dan mempertahankan diri dari AI.
Ancaman bertenaga AI tidak akan datang-mereka sudah ada di sini. Antropik sebelumnya posting blog menjelaskan bahwa sebuah kelompok yang disponsori negara menggunakan agen tersebut untuk menyusup ke “sekitar tiga puluh target global dan berhasil dalam sejumlah kecil kasus” dengan “berpura-pura bekerja untuk organisasi penguji keamanan yang sah” untuk menghindari penjagaan Claude. Kami terus melihat Serangan phishing yang digerakkan oleh AI yang bertujuan untuk mencuri kredensial pengguna.
Organisasi membutuhkan kontrol identitas yang tepat untuk mempersiapkan diri menghadapi serangan yang lebih banyak - dan lebih efektif. Hal tersebut meliputi:
- Autentikasi tanpa kata sandimenjadi tanpa kata sandi dapat menghapus kredensial yang coba dicuri oleh serangan phishing yang digerakkan oleh AI. Bertujuan untuk menerapkan tanpa kata sandi dalam skala besar untuk setiap pengguna di setiap lingkungan.
- Mengamankan proses autentikasi: Menuju tanpa kata sandi adalah langkah awal yang bagus untuk menjaga keamanan organisasi dari AI, tetapi ini baru langkah pertama. Jaga keamanan proses autentikasi itu sendiri dengan menggunakan solusi yang mengevaluasi sinyal pengguna secara dinamis dan memerlukan autentikasi tingkat lanjut selama upaya masuk berisiko tinggi, atau menggunakan verifikasi kedekatan untuk memastikan bahwa perangkat pengguna dekat dengan apa yang ingin mereka akses.
- Verifikasi identitas dua arah: Deepfakes akan memudahkan penyerang untuk menyamar sebagai pengguna atau personel help desk. Agen akan membantu penyerang membuat serangan rekayasa sosial yang lebih meyakinkan. Organisasi membutuhkan cara yang sederhana untuk memperhitungkan taktik dan memverifikasi pengguna adalah siapa yang mereka klaim untuk mencegah jenis serangan yang merugikan MGM Resorts, Caesars Entertainment Group, dan Marks & Spencer ratusan juta dolar.
- Tata kelola dan administrasi identitas (IGA): Pada sebagian besar pelanggaran, penyerang bergerak cepat untuk meningkatkan hak istimewa dan memperluas akses. Memiliki program IGA tingkat lanjut membantu mengatasi risiko tersebut dengan memastikan identitas hanya memiliki akses ke hal-hal yang diperlukan, menerapkan hak istimewa yang paling sedikit, dan mendukung pendekatan Zero Trust.
Tidaklah cukup hanya dengan memiliki kemampuan keamanan untuk mempertahankan diri dari AI eksternal. Organisasi juga membutuhkan kontrol keamanan identitas yang memungkinkan mereka menggunakannya dengan aman. Kontrol keamanan identitas ini dapat berupa Laporan IQ RSA ID 2026, sebuah survei industri terhadap lebih dari 2.100 pemimpin keamanan siber, manajemen identitas dan akses (IAM), kepatuhan, dan teknologi global menemukan bahwa 91% organisasi berencana untuk mengimplementasikan beberapa bentuk AI ke dalam tumpukan keamanan siber mereka tahun ini.
Untuk menggunakan AI dengan aman, organisasi harus melakukannya:
- Perlakukan setiap agen seperti sebuah identitas. Organisasi perlu memperlakukan setiap agen, bot, dan layanan AI sebagai sebuah identitas. Mereka perlu memberikan tingkat kontrol, izin, dan pengawasan yang sama kepada NHI seperti halnya kepada pengguna manusia. Inventarisir apa yang Anda miliki terlebih dahulu dan pahami aksesnya. Dan mewajibkan tanpa kata sandi untuk agen Anda untuk menghilangkan risiko karyawan melakukan pengkodean kata sandi untuk bertindak atas nama mereka-jika Anda melakukannya, maka Anda baru saja melepaskan bot yang tidak aman ke alam liar.
- Komunikasikan kebijakan Anda dengan jelas, lantang, dan sering. Ini bukan hanya masalah teknologi. Organisasi perlu mengidentifikasi layanan apa saja yang wajar dan sumber daya apa saja yang dapat disediakan oleh karyawan. Shadow AI memiliki risiko yang sangat besar untuk kehilangan PII, informasi keuangan, dan data terlarang lainnya.
- Membangun IGA yang lebih baik. Untuk menggunakan AI dengan aman, organisasi membutuhkan tata kelola yang dapat mengimbangi skala data identitas. Hal ini berarti memastikan bahwa identitas hanya memiliki akses yang mereka butuhkan, mempertahankan visibilitas yang berkelanjutan ke dalam akses, dan mengubah data yang kompleks menjadi tindakan yang jelas dan diprioritaskan. AI membantu peninjau membuat keputusan dengan percaya diri dan memberikan wawasan kepada para profesional keamanan untuk mengidentifikasi risiko dan bertindak dalam skala besar, sehingga memungkinkan kontrol yang berkelanjutan dan cerdas atas akses.
- Kedaulatan data untuk AI. Organisasi dengan persyaratan kepatuhan, keamanan, dan ketersediaan yang ditingkatkan harus mempertimbangkan untuk menggunakan penyebaran yang berdaulat untuk memastikan kontrol penuh atas data mereka, di mana data tersebut berada, dan siapa yang dapat mengaksesnya. Carilah solusi yang dapat mendukung kemampuan manajemen identitas dan akses (IAM) penuh dalam konfigurasi cloud pribadi, multi-cloud, di lokasi, dan air-gapped.
