Tim keamanan selama ini membangun model mereka berdasarkan pengguna manusia. Seseorang yang berhenti sejenak sebelum mengklik, yang bisa merasakan jika ada yang janggal, dan yang bisa dilatih untuk mengenali unduhan mencurigakan. Model seperti ini berhasil karena manusia, meskipun tidak sempurna, membawa pertimbangan dalam setiap interaksi.
Namun, asumsi ini kini mulai runtuh. Pengguna perusahaan terbaru tampaknya tidak memiliki pertimbangan sama sekali. Menurut analis dari Gartner, diprediksi pada 2026, 40% aplikasi perusahaan akan memiliki agen AI spesifik tugas yang terintegrasi, meningkat dari kurang dari 5% tahun lalu.
Pengguna baru ini akan menjadi agen yang mengakses aplikasi, menjelajahi layanan cloud, dan berinteraksi dengan data melalui sesi browser dengan kecepatan yang belum pernah ada sebelumnya.
Sayangnya, infrastruktur keamanan yang mengatur pengguna non-manusia belum beradaptasi, dan kontrol yang dirancang untuk mengekang perilaku manusia mulai gagal saat agen otonom menjalankan tugas dalam hitungan milidetik.
Gap Visibilitas yang Tak Terduga
Agen beroperasi pada skala yang tidak dapat dicapai oleh manusia, menciptakan celah visibilitas yang besar. Keamanan tradisional mengasumsikan bahwa pengguna manusia bertindak dengan sengaja dan mengikuti pola yang bisa dikenali.
Sistem autentikasi membuktikan bahwa pengguna adalah siapa yang mereka klaim. Analitik perilaku menandai pola yang tidak biasa. Sistem pencegahan kehilangan data mengasumsikan seseorang akan memperhatikan saat informasi sensitif muncul di tempat yang salah.
Namun, agen AI merusak semua asumsi itu. Mereka tidak ragu membuka file atau bahkan memperhatikan jika ada petunjuk mencurigakan. Dengan penuh percaya diri, mereka mengeksekusi perintah digital seolah-olah itu adalah instruksi, tanpa ada intuisi untuk menyadari jika ada yang salah.
Banyak agen ini beroperasi melalui browser yang tidak terlihat atau berinteraksi langsung dengan protokol web, berfungsi di luar sesi yang dapat dimonitor oleh alat keamanan tradisional.
Mayoritas organisasi masih memperlakukan agen sebagai perpanjangan dari pengguna manusia. Hanya 22% tim keamanan yang mengelolanya sebagai entitas independen dengan profil risiko yang berbeda.
Jika Anda menerapkan izin dan kebijakan yang sama untuk agen seperti yang digunakan untuk pengguna manusia, Anda membuka celah yang terus berkembang dengan setiap penerapan agen baru. Tim keamanan Anda tidak akan menyadari pelanggaran hingga itu menyebar secara sistematis.
Ketika Risiko Bergerak Lebih Cepat dari Kontrol Anda
Ada perbedaan mencolok antara agen yang hanya memberikan saran dan yang bertindak langsung. Ketika agen beralih dari membantu ke mengeksekusi, bencana risiko perusahaan berubah secara mendasar. Tindakan yang dulu memerlukan tinjauan manusia dan berlangsung dalam hitungan menit kini bisa terjadi secara otomatis dalam hitungan detik.
Agen yang telah tercompromikan dapat bergerak lateral antar sistem dengan kecepatan mesin — mengekstrak data, meningkatkan hak akses, atau memulai transfer uang yang tidak sah tanpa pengawasan manusia.
Memicu tidak harus selalu dramatis. Sebuah prompt yang dimanipulasi bisa membuat agen memulai pembayaran yang tidak sah atau mengekstrak data sensitif.
Akses API yang terlalu luas memberi agen yang tercompromikan kunci ke sistem yang seharusnya tidak mereka sentuh.
Data input yang terformat salah bisa memicu alur kerja yang tidak diinginkan di seluruh sistem yang terhubung.
Jika kontrol keamanan tidak tertanam di titik tempat tindakan berlangsung, pengawasan menjadi reaktif. Dalam lingkungan yang ditentukan oleh eksekusi kecepatan mesin, metode reaktif sudah tidak cukup karena penanganan dimulai setelah kerusakan terjadi.
Kenapa Browser Kini Menjadi Titik Kontrol
Inilah pergeseran yang mengubah segalanya untuk para pemimpin keamanan: Lebih dari 85% alur kerja perusahaan kini terjadi di dalam browser, menurut penelitian IDC.
Ini menjadikan browser sebagai permukaan serangan utama dan titik penegakan kebijakan keamanan yang paling penting. Ketika agen beroperasi melalui aplikasi web dan memproses konten digital, browser menjadi tempat di mana keputusan mereka diambil.
Risiko beralih dari endpoint tradisional ke sesi web langsung di mana akses, penanganan data, dan eksekusi bertemu. Penyerang memanfaatkan pergeseran ini, menyembunyikan instruksi jahat dalam dokumen dan konten situs web untuk menargetkan lapisan tepat di mana agen memproses input.
Manipulasi halus yang tersembunyi dalam file atau halaman web bisa mengalihkan perilaku agen tanpa menimbulkan kecurigaan bagi peninjau manusia.
Kontrol tradisional mengasumsikan titik pemeriksaan yang statis — pemeriksaan berkala, pemindaian endpoint, filter di lapisan jaringan. Namun, alur kerja agen tidak berhenti untuk pemeriksaan. Mereka terus beroperasi, di dalam sesi yang hidup, dengan kecepatan yang tidak dapat diimbangi oleh kontrol statis.
Instruksi jahat yang disematkan dalam dokumen atau konten web dapat mengalihkan perilaku agen tanpa memicu satu pun peringatan bagi peninjau manusia.
Inilah mengapa browser harus menjadi pengendali — bukan hanya sebagai titik pemeriksaan sebelum sesi, tetapi sebagai lapisan penegakan di dalamnya.
Ketika pengguna manusia dan agen beroperasi melalui alur kerja berbasis browser, satu-satunya cara untuk menjaga visibilitas dan penegakan kebijakan yang konsisten adalah dengan mengatur semua aktivitas di tingkat sesi, secara real-time, terlepas dari apakah pelakunya manusia atau otonom.
Era mengelola sesi manusia dan agen sebagai sistem terpisah dengan kontrol yang terpisah sudah berakhir.
Apa yang Harus Dievaluasi Kembali oleh Para Pemimpin Keamanan Saat Ini
Jalan ke depan dimulai dengan penilaian jujur tentang di mana model Anda saat ini mengalami kegagalan.
Kebanyakan tim keamanan memberikan agen akses, izin, dan perlakuan pemantauan yang sama seperti pengguna manusia — karena itu adalah jalan tercepat untuk diterapkan. Namun, jalan pintas ini kini menjadi beban.
Agen memerlukan manajemen identitas yang jelas: autentikasi terpisah, otorisasi, dan pemantauan perilaku yang dibangun berdasarkan bagaimana agen sebenarnya beroperasi, bukan berdasarkan cara manusia.
Saat ini, sebagian besar tim berusaha mengatur aktivitas agen dengan menyatukan alat yang didesain untuk melindungi manusia, dan tidak satu pun dari alat tersebut yang bisa melihat ke dalam sesi browser tempat agen benar-benar beroperasi. Hasilnya adalah celah visibilitas yang semakin lebar dengan setiap penerapan agen baru.
Menutup celah tersebut memerlukan visibilitas tingkat sesi pada lalu lintas yang terenkripsi, interaksi pengguna, dan aktivitas file yang tidak pernah dirancang untuk ditangkap oleh alat jaringan dan endpoint.
Keamanan dan produktivitas tidak saling bertentangan, dan dengan adanya agen mereka tidak bisa memilih. Ketika keamanan tertanam langsung ke dalam sesi browser, konten web diisolasi dan diperiksa sebelum mencapai pengguna atau agen. Perlindungan tetap tak terlihat bagi tenaga kerja Anda.
Agen beroperasi dalam batas-batas yang diatur tanpa menambah beban kinerja. Model keamanan tidak lagi menjadi penghalang bagi kecepatan perusahaan, melainkan justru menjadi alat untuk bergerak lebih cepat dengan aman.
Membangun Kepercayaan dengan Pengguna Otonom
Agen kini menjadi pusat bagaimana pekerjaan dilakukan, beroperasi dengan kecepatan dan otonomi yang tidak bisa ditangani oleh model keamanan lama. Perusahaan yang sukses akan memindahkan kontrol keamanan langsung ke lapisan eksekusi — browser — untuk memperoleh visibilitas ke dalam aktivitas langsung dan menekan risiko sebelum menyebar.
Model keamanan yang melindungi organisasi Anda tahun lalu dibangun untuk manusia. Agen yang kini beroperasi di sistem Anda tidak ada saat Anda menyusunnya. Peluang untuk menutup celah itu semakin menipis.
Pertanyaan yang dihadapi setiap pemimpin keamanan kini bukan lagi apakah agen akan mengubah perusahaan Anda, karena mereka sudah melakukannya. Pertanyaan sekarang adalah apakah model keamanan Anda telah beradaptasi dengan perubahan tersebut.
