JAKARTA - Di tengah derasnya adopsi Agentic AI di Asia Pasifik, termasuk Indonesia, keamanan Application Programming Interface (API) menjadi sorotan utama. Dahulu hanya dianggap sebagai “pintu masuk data”, kini API menjadi penghubung vital bagi jalur instruksi AI secara otonom. 

Dari pemesanan transportasi, transaksi e-commerce, hingga pembayaran digital, hampir semua aplikasi modern mengandalkan API yang saling terhubung. Sifatnya yang terbuka membuat API menjadi sasaran empuk bagi pelaku kejahatan siber.

Dalam Media Roundtable F5, Country Manager F5 Indonesia, Surung Sinamo, menekankan bahwa API kini merupakan tulang punggung modern application dan penggerak operasional AI. 

“API itu sebenarnya adalah backbone dari modern application. Di belakang semua aplikasi yang kita pakai, semuanya menggunakan API,” ujarnya.

Risiko Besar dari Shadow API dan Malware

Ancaman keamanan API tidak hanya teori. Studi terbaru F5, 2025 Strategic Imperatives: Securing APIs for the Age of Agentic AI in APAC, mengungkapkan banyak organisasi Indonesia sadar pentingnya keamanan API, namun minim tim pengawas maupun mekanisme proteksi memadai. 

Fenomena Shadow API dan Zombie API menjadi masalah nyata: API yang dibuat untuk kebutuhan tertentu, namun tidak dinonaktifkan, berpotensi menjadi celah serangan.

Surung mencontohkan sejumlah insiden besar di Indonesia, mulai dari kebocoran data instansi pemerintah hingga serangan ransomware, yang bersumber dari eksploitasi API yang tidak terlindungi. API yang tidak memiliki spesifikasi keamanan jelas memudahkan penyerang menyisipkan malware melalui payload berbahaya. 

“Jika API tidak memiliki aturan dan tidak dikelola dengan baik, penyerang bisa memasukkan data berbahaya melalui API, dan inilah yang menyebabkan banyak kebocoran data saat ini,” jelasnya.

Agentic AI Memperluas Risiko API

Agentic AI memiliki kemampuan merencanakan dan mengeksekusi tugas secara otomatis tanpa intervensi manusia. Kecanggihan ini justru memperbesar risiko, karena AI agent dapat mengakses berbagai platform, mulai dari reservasi hotel hingga transaksi keuangan. Tanpa kontrol ketat, AI bisa mengambil keputusan yang salah atau menyebarkan aksi berbahaya.

“Bedanya Agentic AI, dia tidak hanya menjawab pertanyaan. Dia bisa merencanakan dan mengeksekusi hingga menghasilkan output. Karena dia bersifat autonomous, risikonya jauh lebih besar kalau tidak dikontrol,” kata Surung.

F5 menemukan empat kesenjangan utama di Indonesia: kurangnya visibilitas API, ownership yang terfragmentasi, keamanan yang diterapkan belakangan, dan potensi eksploitasi oleh Agentic AI. 

Banyak perusahaan tidak memiliki inventaris API lengkap, sehingga ketika terjadi insiden, tanggung jawab sering jatuh pada CISO atau Data Privacy Officer, meski bukan pemilik API. 

Selain itu, API baru biasanya dites setelah aplikasi berjalan, sehingga celah baru lebih mudah dimanfaatkan pihak berbahaya. Agentic AI yang bisa memanggil API secara mandiri semakin memperlebar celah tata kelola dan eksposur risiko.

Sektor Siap dan Solusi Platform Terpadu

Sektor perbankan menjadi contoh yang paling siap menghadapi risiko ini, karena sudah lama mengandalkan API untuk layanan open banking dan transaksi lintas platform. 

Namun sektor lain, termasuk pemerintahan dan industri non-keuangan, tingkat kematangannya masih tertinggal. Surung menekankan banyak perusahaan tidak memiliki inventaris API yang lengkap, sehingga kesadaran dan kontrol keamanan masih minim.

Untuk menghadapi kompleksitas Agentic AI, F5 menyoroti kebutuhan platform keamanan API terpadu. Platform ini harus mampu melakukan discovery otomatis, dokumentasi spesifikasi API, deteksi anomali berbasis AI, serta proteksi runtime di seluruh lingkungan, baik on-premise, cloud, maupun edge. Pendekatan parsial atau tradisional dinilai tidak lagi relevan menghadapi kecepatan evolusi teknologi AI.

Dengan adopsi AI yang terus meningkat, pengawasan API menjadi prioritas kritis. Tanpa perlindungan memadai, seluruh ekosistem digital, mulai dari aplikasi e-commerce hingga layanan publik, berada dalam risiko tinggi. Perlindungan API bukan lagi sekadar aspek teknis, tetapi faktor strategis untuk keamanan dan keberlanjutan bisnis di era Agentic AI.