Laporan Tenable Cloud and AI Security Risk Report 2026 mengungkap bahwa adopsi teknologi cloud dan AI tumbuh lebih cepat daripada kemampuan tim keamanan dalam mengelola risiko.
Kecepatan adopsi teknologi termasuk AI dan cloud telah melampaui kemampuan tim keamanan untuk mendeteksi dan memperbaiki celah risiko secara komprehensif. Kejadian ini disebut AI exposure gap, di mana risiko tersembunyi muncul melalui aplikasi, infrastruktur, identitas, agen, dan data, sementara banyak tim belum punya visibilitas terpadu untuk mengatasinya.
Kesenjangan ini diperparah oleh ketergantungan yang kuat pada kode pihak ketiga dan kurangnya pengelolaan identitas yang efektif, sehingga jalur akses tersembunyi membuka pintu masuk bagi pelaku ancaman sebelum tim keamanan menyadarinya.
6 Temuan Utama Tenable tentang Eksposur Risiko
- Integrasi Paket AI Tanpa Pengawasan
Sekitar 70 % organisasi telah mengintegrasikan setidaknya satu paket AI atau Model Context Protocol (MCP) dari pihak ketiga ke dalam aplikasi atau infrastruktur mereka tanpa pengawasan keamanan terpusat. - Kerentanan Kode Pihak Ketiga
Sebanyak 86 % organisasi menyimpan paket kode pihak ketiga dengan kerentanan tingkat kritis, menjadikan rantai pasok perangkat lunak sumber paparan yang utama dan sulit dikendalikan. - Izin Administratif Layanan AI yang Tidak Diaudit
Sekitar 18 % organisasi memberikan hak administratif kepada layanan AI yang jarang atau tidak pernah diaudit, sehingga menciptakan katalog hak akses pre-packaged yang bisa dimanfaatkan penyerang. - Identitas Non-Manusia Lebih Berisiko
Identitas non-manusia seperti AI agent dan akun layanan memiliki risiko lebih tinggi (52 %) dibandingkan identitas manusia (37 %), membentuk kombinasi izin berbahaya yang sering tidak terhubung oleh alat keamanan terfragmentasi. - Kredensial Cloud yang Dilupakan Masih Aktif
Sekitar 65 % perusahaan memiliki kredensial cloud yang terlupakan atau tidak pernah diganti, yang tetap aktif dengan akses signifikan, meningkatkan jalur akses eksploitasi risiko. - Identitas dengan Izin Berlebihan Tidak Aktif
Hampir 49 % identitas yang memiliki izin kritis atau berlebihan berada dalam kondisi tidak aktif atau jarang digunakan, menciptakan akun “tempat duduk kosong” yang siap disalahgunakan.
Tenable menekankan bahwa fokus keamanan harus bergeser dari sekadar memperbaiki kerentanan satu per satu menjadi manajemen paparan risiko kontekstual. Ini berarti organisasi perlu memprioritaskan jalur serangan yang nyata berdasarkan visibilitas terpadu di seluruh lapisan cloud, identitas, dan teknologi AI bukan hanya berfokus pada volume kerentanan.
