Connect with us

Pemimpin pemikiran

Di Mana Standar Keamanan AI Berhenti — dan Perlindungan Runtime Harus Dimulai

mm
Published
Updated

Dengan semua pembicaraan tentang risiko keamanan AI, satu isu yang tampaknya terabaikan adalah ini: fakta bahwa sistem AI hanya berfungsi dengan memaparkan aset paling berharganya — model dan data.

Tidak seperti perangkat lunak tradisional, AI tidak hanya menjalankan logika yang telah ditentukan. Ia secara terus-menerus menggabungkan model proprietary dengan input sensitif untuk menghasilkan output, seringkali pada infrastruktur yang tidak dirancang untuk melindungi komputasi.

Dengan cara ini, keamanan tradisional tidak memadai. Enkripsi efektif ketika data disimpan atau ditransmisikan melintasi jaringan, tetapi tidak ketika data diproses atau dioperasikan. Khusus untuk AI, bahaya muncul ketika sebuah model di-deploy. Parameternya dimuat ke dalam memori, diinisialisasi, dan dijalankan dalam skala besar – titik di mana enkripsi berhenti – memaparkannya pada potensi akses tidak sah. Selama inferensi, data sensitif mengalir melalui ruang terbuka yang sama. Hasilnya adalah permukaan risiko yang sangat rentan: sistem AI yang mungkin tampak aman – tetapi sebenarnya tidak terlindungi pada momen-momen paling kritis.

Badan standar seperti National Institute of Standards and Technology (NIST), European Union Agency for Cybersecurity (sebelumnya dikenal sebagai European Network and Information Security Agency, atau ENISA), dan Open Web Application Security Project (OWASP) telah mulai memetakan wilayah ini. Mereka menggambarkan risikonya, menyebutkan kerentanannya, dan menguraikan prinsip-prinsip tata kelola. Namun mereka berhenti sebelum meresepkan cara melindungi model sebagai kekayaan intelektual dan data sebagai aset rahasia begitu eksekusi dimulai. Menutup celah itu membutuhkan pemikiran ulang tentang keamanan AI–bukan sebagai latihan kepatuhan, tetapi sebagai masalah komputasi itu sendiri. Di sinilah enkripsi-dalam-penggunaan, atau enkripsi ujung-ke-ujung, berperan.

Titik Buta dalam Keamanan AI Modern

Sebagian besar percakapan keamanan AI masih berkisar pada wilayah yang familiar: tata kelola data pelatihan, kontrol akses, pemantauan API, dan kebijakan pengguna yang bertanggung jawab. Ini diperlukan. Namun, tidak satu pun dari ini yang membahas apa yang terjadi setelah deployment, ketika sebuah model meninggalkan repositori dan menjadi sistem yang hidup.

Setelah di-deploy, parameter model bukan lagi artefak abstrak. Mereka adalah aset yang hidup, berada di memori, terus diakses selama inferensi dan sering digunakan oleh banyak penyewa atau pelanggan melalui layanan AI bersama. Paparan ini terjadi sebelum permintaan inferensi apa pun dibuat, sehingga memperparah risiko dengan memperkenalkan input sensitif dan perilaku yang dapat diamati secara eksternal.

Memperlakukan perlindungan model sebagai keprihatinan pra-deployment dan keamanan inferensi sebagai keprihatinan runtime meleset dari intinya. Dalam sistem nyata, risiko-risiko ini tumpang tindih. Model dan data terpapar selama inisialisasi, eksekusi, dan output. Keamanan yang dimulai dan berakhir dengan kontrol penyimpanan gagal mengatasi paparan ini.

Apa yang Benar dari NIST — dan Di Mana Ia Berhenti

Kerangka Manajemen Risiko AI NIST telah menjadi landasan bagi organisasi yang mencoba mengelola risiko AI. Strukturnya—atur, petakan, ukur, kelola—menawarkan cara yang terdisiplin untuk memikirkan akuntabilitas, konteks, dampak, dan mitigasi di seluruh siklus hidup AI.

Apa yang dilakukan NIST dengan sangat baik adalah membingkai risiko AI sebagai sistemik daripada tidak disengaja. Kegagalan AI jarang merupakan peristiwa titik tunggal; mereka muncul dari interaksi antara model, data, orang, dan infrastruktur. Pembingkaian itu penting.

Di mana kerangka kerja ini kurang adalah dalam kegagalannya untuk menentukan bagaimana aset AI bernilai tinggi dilindungi begitu sistem hidup. Parameter model secara implisit diperlakukan sebagai artefak waktu-desain daripada aset runtime. Lingkungan eksekusi dianggap cukup terpercaya.

Dalam praktiknya, parameter model seringkali merupakan kekayaan intelektual paling berharga yang dimiliki suatu organisasi. Mereka dimuat ke dalam memori, disalin melintasi node, di-cache, dan digunakan kembali. Jika manajemen risiko AI gagal memperhitungkan kerahasiaan model selama deployment dan eksekusi, aset kritis tetap berada di luar batas risiko, seperti sasaran empuk.

ENISA dan Realitas Ancaman Spesifik AI

Karya ENISA tentang keamanan siber AI mendorong percakapan lebih jauh. Kerangka kerja berlapisnya membedakan antara keamanan infrastruktur tradisional dan risiko spesifik AI, mengakui bahwa sistem AI berperilaku berbeda—dan gagal berbeda—dibandingkan perangkat lunak konvensional.

Mengapa ini penting? AI memperkenalkan ancaman yang tidak cocok dengan kontrol yang ada: ekstraksi model, kebocoran parameter, paparan ko-tenansi, dan pemalsuan selama eksekusi. Risiko ini tidak memerlukan penyerang eksotis. Mereka muncul secara alami ketika model bernilai tinggi berjalan di lingkungan bersama atau yang dikelola secara eksternal.

Kerangka kerja ENISA secara implisit mengakui bahwa mengamankan AI berarti mengamankan perilaku, bukan hanya kode. Namun seperti kebanyakan standar, ia berfokus pada apa yang harus dipertimbangkan, bukan bagaimana perlindungan secara teknis ditegakkan begitu model berjalan.

OWASP dan Biaya Kecerdasan yang Dapat Diamati

10 Besar OWASP untuk aplikasi Large Language Model menawarkan pandangan yang lebih konkret tentang bagaimana sistem AI rusak di dunia nyata. Prompt injection, pengungkapan informasi sensitif, kebocoran embedding, transparansi output yang berlebihan—ini bukanlah kekhawatiran teoretis. Mereka adalah produk sampingan dari penerapan model yang kuat tanpa membatasi apa yang mereka ungkapkan.

Meskipun masalah-masalah ini sering dibingkai sebagai masalah lapisan aplikasi, konsekuensinya lebih dalam. Paparan berulang terhadap perilaku model dapat menyebabkan kloning yang efektif; embedding yang terisolasi dengan buruk dapat mengungkapkan struktur; dan penyalahgunaan inferensi menjadi jalur untuk replikasi model.

Taksonomi OWASP membuat satu hal menjadi jelas: melindungi AI bukan hanya tentang menghentikan input yang buruk. Ini tentang membatasi apa yang diekspos oleh model—secara internal dan eksternal—setelah mereka beroperasi.

Kesimpulan Bersama, Pekerjaan yang Belum Selesai

Di seluruh NIST, ENISA, dan OWASP, ada kesepakatan luas tentang hal-hal mendasar:

  • Risiko AI menjangkau siklus hidup
  • Sistem AI memperkenalkan kategori ancaman baru
  • Model dan data adalah aset bernilai tinggi
  • Paparan runtime tidak dapat dihindari

Namun, yang kurang dari kerangka kerja ini adalah mekanisme untuk menegakkan kerahasiaan begitu model di-deploy dan komputasi dimulai. Kelalaian itu bukanlah cacat, karena standar mendefinisikan niat dan ruang lingkup. Implementasi biasanya diserahkan kepada perancang sistem.

Tetapi mereka meninggalkan celah kritis—satu yang semakin melebar seiring sistem AI berkembang.

Enkripsi-dalam-Penggunaan Mengubah Persamaan

Enkripsi-dalam-penggunaan menggeser model keamanan. Alih-alih berasumsi bahwa data dan model harus diekspos agar berguna, ia memperlakukan komputasi sebagai sesuatu yang dapat dilindungi.

Dalam istilah praktis, ini berarti:

  • Model tetap terenkripsi selama deployment, inisialisasi, dan eksekusi
  • Input tidak pernah terlihat dalam teks biasa ke lingkungan eksekusi
  • Status perantara tidak dapat diperiksa atau dimodifikasi
  • Infrastruktur tidak lagi perlu dipercaya secara implisit

Ini tidak menggantikan kerangka kerja tata kelola atau kontrol lapisan aplikasi – ini mengoperasionalkannya. Ini mengubah prinsip risiko menjadi jaminan yang dapat ditegakkan tepat ketika sistem AI paling rentan.

Dengan kata lain, enkripsi-dalam-penggunaan adalah lapisan yang hilang antara kebijakan AI dan realitas AI.

Ketika Tata Kelola Berakhir dan Eksekusi Dimulai: Mengamankan Komputasi AI

Keamanan AI runtuh saat runtime. Setelah di-deploy, model AI dan data sensitif harus diekspos dalam memori untuk berfungsi, menciptakan permukaan risiko yang tidak pernah dirancang untuk dilindungi oleh kontrol tradisional—enkripsi saat diam, enkripsi dalam transit, dan kerangka kerja tata kelola.

Badan standar seperti NIST, ENISA, dan OWASP telah membuat kemajuan kritis dalam mendefinisikan risiko AI, akuntabilitas, dan penyalahgunaan. Namun panduan mereka sebagian besar memperlakukan model sebagai artefak waktu-desain dan mengasumsikan lingkungan eksekusi dapat dipercaya. Dalam praktiknya, parameter model dan input sensitif terus diakses, digunakan kembali, dan sering diproses di lingkungan bersama atau yang dikelola secara eksternal.

Menutup celah ini membutuhkan pemikiran ulang tentang keamanan AI bukan sebagai latihan kepatuhan, tetapi sebagai masalah melindungi komputasi itu sendiri—ketika model hidup, data digunakan, dan paparan tidak dapat dihindari. Enkripsi-dalam-penggunaan menawarkan cara yang layak untuk menjaga model AI dan input sensitif tetap aman di setiap tahap siklus hidup AI.

Related Topics:
mm

Luigi Caramico, a veteran in the data protection industry, has been at the forefront of cybersecurity innovation for over two decades. As the co-founder and CTO of DataKrypto, Caramico is pioneering a new era of data security with fully homomorphic encryption (FHE) technology that promises to revolutionize how organizations protect their most sensitive information in the age of AI.

With a career spanning multiple successful ventures in data analytics and protection, Caramico’s journey from ethical hacker to encryption innovator has been driven by a singular vision: to create a world where data remains secure from creation to use, even during computation.