Apa yang terjadi
Pusat Keamanan Siber Nasional Inggris menerbitkan panduan pada 11 Mei 2026, berjudul '10 Pertanyaan untuk Ditanyakan Saat Menggunakan Model AI untuk Menemukan Kerentanan,' memperingatkan organisasi bahwa sekadar menemukan lebih banyak kerentanan tidak meningkatkan keamanan dan dapat memperburuknya tanpa proses triase, prioritas, dan perbaikan yang tepat. Panduan tersebut menekankan bahwa keamanan AI bukan disiplin ilmu yang berdiri sendiri melainkan harus tertanam dalam kerangka kerja keamanan siber yang ada dan tata kelola operasional.
Mengapa penting
Ini adalah panduan NCSC pertama yang memperlakukan penemuan kerentanan AI sebagai disiplin tingkat papan daripada pilihan peralatan. Panduan mencatat bahwa dari lebih dari 40.000 CVE yang ditetapkan pada 2025, hanya sekitar 400 yang dieksploitasi secara aktif dan sekitar 40 adalah zero-days saat pertama kali digunakan—menyoroti kebutuhan untuk patching berprioritas daripada penemuan berbasis volume. Kerangka kerja mendorong organisasi untuk mempertimbangkan risiko paparan data, izin, yurisdiksi model yang dihosting, dan implikasi anggaran sebelum mengadopsi pemindai kerentanan AI.
Tindakan yang diperlukan
Tim keamanan harus meninjau kerangka kerja 10 pertanyaan sebelum menerapkan alat penemuan kerentanan AI, memastikan proses manajemen kerentanan dapat menangani peningkatan volume temuan, memprioritaskan pemindaian permukaan serangan eksternal, dan memverifikasi hasil deteksi menggunakan validasi AI dan manusia. Organisasi juga harus menilai apakah model AI diperlukan mengingat bahwa kebersihan siber fundamental (menambal kerentanan yang diketahui, manajemen aset) tetap menjadi investasi keamanan dengan ROI tertinggi.