Pemimpin pemikiran

Di Mana Standar Keamanan AI Berhenti — dan Perlindungan Waktu Jalankan Harus Dimulai

mm
Published
Updated

Dengan semua pembicaraan tentang risiko keamanan AI, satu masalah yang tampaknya diabaikan adalah ini: fakta bahwa sistem AI hanya berfungsi dengan mengekspos aset paling berharga mereka — model dan data.

Tidak seperti perangkat lunak tradisional, AI tidak hanya menjalankan logika yang telah ditentukan sebelumnya. Ini terus-menerus mencampurkan model proprietary dengan input sensitif untuk menghasilkan output, sering kali pada infrastruktur yang tidak dirancang untuk melindungi komputasi.

Dengan cara ini, keamanan tradisional tidak mencukupi. Enkripsi efektif ketika data disimpan atau ditransmisikan melalui jaringan, tetapi tidak ketika data diproses atau dioperasikan. Untuk AI khususnya, bahaya muncul ketika model diterapkan. Parameter-model dimuat ke memori, diinisialisasi, dan dijalankan pada skala besar – titik di mana enkripsi berhenti – mengeksposnya ke akses tidak sah yang potensial. Selama inferensi, data sensitif mengalir melalui ruang yang sama. Hasilnya adalah permukaan risiko yang sangat rentan: sistem AI yang mungkin tampak aman – tetapi sebenarnya tidak dilindungi pada saat-saat paling kritis.

Badan standar seperti National Institute of Standards and Technology (NIST), European Union Agency for Cybersecurity (sebelumnya dikenal sebagai European Network and Information Security Agency, atau ENISA), dan Open Web Application Security Project (OWASP) telah mulai memetakan wilayah ini. Mereka menjelaskan risiko, menamai kerentanan, dan menguraikan prinsip-prinsip tata kelola. Tetapi mereka berhenti sebelum meresepkan bagaimana melindungi model sebagai kekayaan intelektual dan data sebagai aset rahasia sekali eksekusi dimulai. Menutup kesenjangan ini memerlukan pemikiran ulang tentang keamanan AI–bukan sebagai latihan kepatuhan, tetapi sebagai masalah komputasi itu sendiri. Inilah di mana enkripsi-in-use, atau enkripsi ujung-ke-ujung, memainkan peran.

Titik Buta dalam Keamanan AI Modern

Kebanyakan percakapan tentang keamanan AI masih berputar di sekitar tanah yang familiar: tata kelola data pelatihan, kontrol akses, pemantauan API, dan kebijakan pengguna yang bertanggung jawab. Ini semua diperlukan. Namun, tidak satu pun dari mereka yang menangani apa yang terjadi setelah penerapan, ketika model meninggalkan repositori dan menjadi sistem yang hidup.

Setelah diterapkan, parameter model tidak lagi menjadi artefak abstrak. Mereka hidup, aset yang berada di memori, diakses terus-menerus selama inferensi dan sering digunakan oleh banyak penyewa atau pelanggan melalui layanan AI bersama. Eksposur ini terjadi sebelum permintaan inferensi dibuat, sehingga memperbesar risiko dengan memperkenalkan input sensitif dan perilaku yang dapat diamati dari luar.

Mengobati perlindungan model sebagai kekhawatiran sebelum penerapan dan keamanan inferensi sebagai kekhawatiran waktu jalankan melewatkan titiknya. Dalam sistem nyata, risiko-risiko ini tumpang tindih. Model dan data diekspos melintasi inisialisasi, eksekusi, dan output. Keamanan yang dimulai dan diakhiri dengan kontrol penyimpanan gagal untuk menangani eksposur-eksposur ini.

Apa yang NIST Lakukan dengan Benar — dan Di Mana Ini Berhenti

Kerangka Manajemen Risiko AI NIST telah menjadi tonggak bagi organisasi yang mencoba mengelola risiko AI. Strukturnya — mengatur, memetakan, mengukur, mengelola — menawarkan cara yang disiplin untuk memikirkan tentang akuntabilitas, konteks, dampak, dan mitigasi di seluruh siklus hidup AI.

Apa yang NIST lakukan dengan sangat baik adalah membingkai risiko AI sebagai sistemik daripada kecelakaan. Kegagalan AI jarang merupakan peristiwa titik tunggal; mereka muncul dari interaksi antara model, data, orang, dan infrastruktur. Pembingkaian itu sangat penting.

Di mana kerangka kerja ini gagal adalah dengan tidak menentukan bagaimana aset AI yang berharga dilindungi sekali sistem hidup. Parameter model secara implisit diobati sebagai artefak waktu desain daripada aset waktu jalankan. Lingkungan eksekusi dianggap cukup dipercaya.

Dalam prakteknya, parameter model sering kali merupakan aset intelektual paling berharga yang dimiliki sebuah organisasi. Mereka dimuat ke memori, disalin melintasi node, disimpan, dan digunakan kembali. Jika manajemen risiko AI gagal untuk memperhitungkan kerahasiaan model selama penerapan dan eksekusi, aset kritis tetap di luar batas risiko, seperti angsa yang duduk.

ENISA dan Kenyataan Ancaman Spesifik AI

Kerja ENISA pada keamanan siber AI mendorong percakapan lebih jauh. Kerangka multilayernya membedakan antara keamanan infrastruktur tradisional dan risiko spesifik AI, mengakui bahwa sistem AI berperilaku berbeda — dan gagal berbeda — daripada perangkat lunak konvensional.

Mengapa ini penting? AI memperkenalkan ancaman yang tidak sesuai dengan kontrol yang ada: ekstraksi model, kebocoran parameter, eksposur co-tenancy, dan manipulasi selama eksekusi. Risiko-risiko ini tidak memerlukan penyerang eksotis. Mereka muncul secara alami ketika model berharga tinggi berjalan dalam lingkungan yang dibagikan atau dikelola secara eksternal.

Kerangka ENISA secara implisit mengakui bahwa mengamankan AI berarti mengamankan perilaku, bukan hanya kode. Namun, seperti kebanyakan standar, ini fokus pada apa yang harus dipertimbangkan, bukan bagaimana perlindungan teknis ditegakkan sekali model berjalan.

OWASP dan Biaya Intelijen yang Dapat Diamati

OWASP Top 10 untuk Aplikasi Model Bahasa Besar menawarkan pandangan yang lebih konkrit tentang bagaimana sistem AI gagal di dunia nyata. Injeksi prompt, pengungkapan informasi sensitif, kebocoran embedding, transparansi output yang berlebihan — ini bukanlah kekhawatiran teoretis. Mereka adalah hasil dari menerapkan model kuat tanpa membatasi apa yang mereka ungkapkan.

Meskipun masalah-masalah ini sering dibingkai sebagai masalah lapisan aplikasi, konsekuensinya lebih dalam. Eksposur berulang dari perilaku model dapat menyebabkan cloning yang efektif; embedding yang tidak terisolasi dengan baik dapat mengungkapkan struktur; dan penyalahgunaan inferensi menjadi jalur untuk replikasi model.

Taksonomi OWASP membuat satu hal jelas: melindungi AI bukan hanya tentang menghentikan input yang buruk. Ini tentang membatasi apa yang model ungkapkan — secara internal dan eksternal — sekali mereka beroperasional.

Kesimpulan Bersama, Pekerjaan yang Belum Selesai

Di seluruh NIST, ENISA, dan OWASP, ada kesepakatan luas tentang dasar-dasar:

  • Risiko AI melintasi siklus hidup
  • Sistem AI memperkenalkan kategori ancaman baru
  • Model dan data adalah aset berharga
  • Eksposur waktu jalankan tidak dapat dihindari

Apa yang kerangka kerja ini kurang, bagaimanapun, adalah mekanisme untuk menegakkan kerahasiaan sekali model diterapkan dan komputasi dimulai. Kekurangan itu bukanlah kesalahan, karena standar mendefinisikan niat dan ruang lingkup. Implementasi biasanya ditinggalkan kepada perancang sistem.

Tetapi mereka meninggalkan kesenjangan kritis — satu yang tumbuh lebih lebar ketika sistem AI berkembang.

Enkripsi-in-Use Mengubah Persamaan

Enkripsi-in-use menggeser model keamanan. Alih-alih menganggap bahwa data dan model harus diekspos untuk berguna, ini memperlakukan komputasi sebagai sesuatu yang dapat dilindungi.

Dalam istilah praktis, ini berarti:

  • Model tetap terenkripsi selama penerapan, inisialisasi, dan eksekusi
  • Input tidak pernah terlihat dalam teks biasa ke lingkungan eksekusi
  • Keadaan antara tidak dapat diinspeksi atau dimodifikasi
  • Infrastruktur tidak perlu lagi dianggap dipercaya secara implisit

Ini tidak menggantikan kerangka kerja tata kelola atau kontrol lapisan aplikasi — ini mengoperasikan mereka. Ini mengubah prinsip-prinsip risiko menjadi jaminan yang dapat ditegakkan tepat ketika sistem AI paling rentan.

Dengan kata lain, enkripsi-in-use adalah lapisan yang hilang antara kebijakan AI dan kenyataan AI.

Ketika Tata Kelola Berakhir dan Eksekusi Dimulai: Mengamankan Komputasi AI

Keamanan AI gagal pada waktu jalankan. Sekali diterapkan, model AI dan data sensitif harus diekspos di memori untuk berfungsi, menciptakan permukaan risiko yang kontrol tradisional — enkripsi saat istirahat, enkripsi dalam transisi, dan kerangka kerja tata kelola — tidak pernah dirancang untuk melindungi.

Badan standar seperti NIST, ENISA, dan OWASP telah membuat kemajuan kritis dalam mendefinisikan risiko AI, akuntabilitas, dan penyalahgunaan. Namun, pedoman mereka sebagian besar mengobati model sebagai artefak waktu desain dan menganggap lingkungan eksekusi dapat dipercaya. Dalam prakteknya, parameter model dan input sensitif terus-menerus diakses, digunakan kembali, dan sering diproses dalam lingkungan yang dibagikan atau dikelola secara eksternal.

Menutup kesenjangan ini memerlukan pemikiran ulang tentang keamanan AI bukan sebagai latihan kepatuhan, tetapi sebagai masalah melindungi komputasi itu sendiri — ketika model hidup, data digunakan, dan eksposur tidak dapat dihindari. Enkripsi-in-use menawarkan cara yang layak untuk menjaga model AI dan input sensitif tetap aman di seluruh tahap siklus hidup AI.

mm

Luigi Caramico, seorang veteran di industri perlindungan data, telah berada di garis depan inovasi keamanan siber selama lebih dari dua dekade. Sebagai co-founder dan CTO dari DataKrypto, Caramico mempelopori era baru keamanan data dengan teknologi enkripsi homomorfik penuh (FHE) yang berjanji untuk merevolusi cara organisasi melindungi informasi paling sensitif mereka di era AI.

Dengan karir yang meliputi beberapa ventura sukses di bidang analitik data dan perlindungan, perjalanan Caramico dari peretas etis ke inovator enkripsi telah didorong oleh visi tunggal: untuk menciptakan dunia di mana data tetap aman dari penciptaan hingga penggunaan, bahkan selama komputasi.