Francis de Souza terdengar seperti seorang profesor. Tenang. Diukur. Meyakinkan.
Baru-baru ini di Los Angeles, di tengah kekacauan sebuah acara industri, COO Google Cloud memberikan beberapa nasihat bijak. “Akan ada masa transisi,” katanya. “Dan kemudian menurutku kita akan sampai ke tempat yang lebih baik.”
Dengan nyaman.
Google saat ini tenggelam dalam transisi tersebut.
Pesannya seharusnya terdengar familier. Keamanan bukanlah stiker yang Anda tempelkan di dasbor pada menit-menit terakhir. Itu perlu dipanggang sejak hari pertama. Apalagi dengan AI. Jangan serahkan pada karyawan Anda. Jangan memasangnya nanti. Bangun sebuah platform.
Bayangan AI itu nyata. Pekerja menggunakan alat konsumen tanpa menghubungi TI. Hal-hal berbahaya. Anda membutuhkan pemerintahan. Anda memerlukan jejak audit. Tidak ada strategi data? Maka strategi AI Anda adalah rumah kartu.
Saya tunjukkan ini terdengar seperti iklan. De Souza mendorong kembali.
Dia bersikeras pada realitas multi-cloud. Anda mungkin berpikir Anda berada di satu cloud. Anda mungkin salah. Aplikasi SaaS berpindah ke tempat lain. Mitra menggunakan vendor yang berbeda. Keamanan harus konsisten di mana pun. Di seluruh model. Lintas batas.
Ancamannya pun berpindah-pindah.
Model pertahanan lama bersifat glasial. Waktu antara pelanggaran dan langkah berikutnya biasanya delapan jam. Sekarang 22 detik.
Itu benar. Detik.
Permukaan serangan Anda bukan lagi sekedar firewall Anda. Itu termasuk modelnya. Saluran pipa yang memberi makan mereka. Petunjuknya. Para agen. Semuanya.
Ada titik buta aneh yang dia soroti. Agen dapat menemukan data yang terlupakan.
Pikirkan tentang hal ini. Server SharePoint lama dari tahun 2015? Kontrol akses tidak disentuh siapa pun? Itu tidak penting karena tidak ada manusia yang mencari. Agen AI yang menjelajahi jaringan akan menemukannya. Dan itu akan mengungkap segalanya.
Jadi, percepat pertahanan. Temui kecepatan mesin dengan kecepatan mesin.
Pertahanan agen. Sistem yang sepenuhnya otonom mengawasi sistem otonom lainnya. Manusia mengawasi, bukan bermain. Ini bukan lagi tiket untuk para IT. Ini adalah wilayah ruang rapat.
Belum. Inilah intinya.
Siapa yang mengawasi para pengawas?
Tidak ada cukup orang yang memenuhi syarat. Kerentanan berkembang biak lebih cepat dibandingkan kemampuan para ahli untuk menambalnya. Lea Kissner di LinkedIn menyebutnya sebagai “kiamat serangga”. Dia pikir kita tidak akan bisa menangani hal ini selama bertahun-tahun.
Sedangkan penyedia platformnya sendiri sepertinya… bingung.
Register telah melacak kekacauan tertentu yang melibatkan pengembang Google Cloud. Tiba-tiba, tagihan mereka meroket menjadi lima digit. Panggilan API yang tidak sah mengenai model Gemini.
Sekilas mereka bukanlah aktor yang buruk. Ini adalah kunci API. Kunci dimaksudkan untuk Google Maps. Kunci yang bersifat publik sesuai instruksi Google sendiri. Kemudian, Google mengubah cakupan kunci tersebut. Diam-diam. Tiba-tiba mereka dapat mengakses model AI yang mahal.
Rod Danan, yang menjalankan Prentus, menyaksikan tagihannya mencapai lebih dari $10k dalam tiga puluh menit. Isuru Fonseka di Sydney melihat uang kertas sebesar $18.000, mengira ia punya batasan. Dia melakukannya.
Kecuali sistem otomatis Google melihat sejarahnya dan meningkatkan batas atasnya. Hingga $100.002. Tidak ada persetujuan eksplisit yang diminta. Hanya sebuah algoritma yang memutuskan seberapa berharganya Anda.
Google mengembalikan dana mereka setelah liputan pers. PR yang bagus.
Namun kebijakan tersebut tetap berlaku. Google menolak mengubah logika peningkatan tingkat otomatis. Mereka memprioritaskan menjaga lampu tetap menyala daripada mematuhi batas anggaran yang ditentukan pengguna.
Bagaimana jika Anda mengetahui adanya pencurian dan mencoba menghentikannya?
Jangan menahan nafasmu.
Perusahaan keamanan Aikido menemukan kelambanan yang mengerikan. Meskipun pengembang segera mencabut kunci API yang disusupi, kunci tersebut akan berfungsi hingga 23 menit lagi.
Dua puluh tiga menit.
Penyerang dapat menguras data di jendela itu. Mereka menarik percakapan yang di-cache. Mereka mencuri file. Dalam beberapa menit, lebih dari 90 persen permintaan yang menggunakan kunci “mati” masih berhasil.
Mengapa kelambatan ini terjadi?
Peneliti Aikido, Joseph Leon, menemukan sesuatu yang menarik. Format kredensial baru Google cepat. Kredensial akun layanan dicabut dalam lima detik. Kunci Gemini dengan awalan AQ yang lebih baru membutuhkan waktu beberapa menit.
Lima detik itu cepat. Satu menit itu cepat.
Namun format standar lama tertinggal beberapa menit. Ini bukanlah suatu kemustahilan teknis. Google melakukan hal ini di tempat lain dalam skala besar.
“Ini masalah prioritas,” tulis Leon.
Baca kembali nasihat de Souza. Itu nasihat yang bagus. Keamanan harus menjadi hal utama. Tata kelola harus ketat.
Tapi ada keterputusan. Platform ini mengkhotbahkan satu hal sambil mempraktikkan hal lain. Kesenjangan antara apa yang ditentukan Google untuk keamanan dan seberapa lambat sistem mereka beradaptasi untuk mencabut kunci sederhana sangatlah besar.
Kesadaran membantu. Tapi percaya?
Mungkin belum.
