Apa yang terjadi
Cloud Security Alliance (CSA) menerbitkan RiskRubric V2 pada 8 Juni 2026, memperluas sistem penilaian risiko AI berbasis bukti mereka melampaui lapisan model untuk memasukkan server MCP, agen yang menggunakan alat, dan seluruh pipeline AI. V2 menambahkan pilar risiko 'Excessive Agency' baru dan memperkenalkan ekosistem pemindai yang dirancang untuk memungkinkan pihak ketiga berkontribusi pada penilaian otomatis. Konsep Paper V2 lengkap tersedia dengan pembaruan tersebut; platform lengkap dijadwalkan diluncurkan pada Q3 2026.
Mengapa penting
RiskRubric V2 adalah salah satu kerangka kerja terstruktur pertama yang secara formal menilai server MCP dan agen AI sebagai entitas risiko yang berbeda berdampingan dengan model — mengakui bahwa control plane untuk AI agentic (konektivitas alat, identitas agen, cakupan eksekusi) adalah tempat risiko enterprise saat ini terkonsentrasi. Pilar Excessive Agency secara langsung mengatasi tindakan otonomi yang over-privileged, yang penelitian AIRQ CSA sendiri mengidentifikasi sebagai karakteristik yang menentukan 98% agen AI produksi.
Tindakan yang diperlukan
Konsultan keamanan AI harus meninjau Konsep Paper V2 dan memetakan enam dimensi kepercayaan (Transparansi, Keandalan, Keamanan, Privasi, Keselamatan, Reputasi) ditambah Excessive Agency terhadap penerapan agentic klien mereka; menggabungkan penilaian RiskRubric V2 ke dalam kuesioner penilaian vendor AI untuk siklus pengadaan Q3.