85% tim TI mengklaim setiap agen AI terkendali. Hanya 42% yang benar-benar mengetahui siapa pemiliknya.
Para pemimpin organisasi hampir dua kali lebih mungkin menyembunyikan penggunaan AI mereka dibandingkan dengan seluruh karyawan lainnya, yaitu sebesar 42% berbanding 23%, menurut penelitian baru Ivanti yang mensurvei 3.900 karyawan di enam negara. Di antara para pemimpin yang menyembunyikan penggunaan hal tersebut, 52% mengatakan mereka melakukannya demi “keuntungan rahasia.” Penelitian yang sama menemukan bahwa 85% profesional TI mengklaim ada pemilik bernama untuk setiap agen AI. Hanya 42% yang mengatakan bahwa kepemilikannya benar-benar jelas – kesenjangan sebesar 43 poin yang tidak dirancang untuk ditutup oleh kerangka tata kelola apa pun. Sam Evans, CISO dari Clearwater Analytics, berdiri di hadapan dewan direksi dan memaparkan risiko terhadap aset senilai $8,8 triliun yang didukung platform perusahaannya. “Hal terburuk yang mungkin terjadi adalah salah satu karyawan kami mengambil data pelanggan dan memasukkannya ke dalam mesin AI yang tidak kami kelola,” kata Evans kepada VentureBeat. Dia membawa solusi, bukan sekedar masalah. Banyak CISO yang diwawancarai VentureBeat tidak melakukannya. CEO Menlo Security, Bill Robbins, menyampaikan percakapan dengan CISO bank Top 3 AS yang menyebut penemuan bayangan AI sebagai “tugas yang bodoh”: AI tertanam di setiap aplikasi dan browser yang disentuh karyawan. Bank Dunia mengatur berdasarkan pengendalian, bukan penemuan. Skala ini membenarkan sikap tersebut. “Kami melihat 50 aplikasi AI baru setiap hari, dan kami telah membuat katalog lebih dari 12.000,” kata CEO Prompt Security Itamar Golan kepada VentureBeat. “Sekitar 40% dari mereka secara default melakukan pelatihan berdasarkan data apa pun yang Anda berikan kepada mereka, yang berarti kekayaan intelektual Anda dapat menjadi bagian dari model mereka.” CrowdStrike telah mendeteksi 1.800 aplikasi AI yang beroperasi di 160 juta instans titik akhir. Itu adalah angka-angka yang dilaporkan vendor dari telemetri kepemilikan. Tidak ada pihak independen yang dapat memverifikasinya. Sinyal arah lebih penting daripada hitungan pastinya. CTO CrowdStrike Elia Zaitsev menjelaskan apa yang membuat permukaan begitu sulit diatur. “Kelihatannya tidak bisa dibedakan jika agen menjalankan browser web Anda dibandingkan jika Anda menjalankan browser Anda,” kata Zaitsev kepada VentureBeat di RSAC 2026. “Mengamati tindakan kinetik sebenarnya adalah masalah yang terstruktur dan dapat dipecahkan. Permukaan bayangan AI tidak lagi dapat dipertahankan oleh tim keamanan. Ini adalah lingkungan yang harus mereka asumsikan. Survei Ivanti diselenggarakan secara independen oleh Ravn Research dan MSI Advanced Customer Insights terhadap 1.500 profesional TI. Di antara perusahaan-perusahaan yang menerapkan kebijakan AI, hanya 24% karyawan yang mengatakan bahwa kebijakan tersebut dipatuhi “dengan sangat konsisten” dalam pekerjaan sehari-hari. Kayne McGladrey, anggota senior IEEE, mengatakan kepada VentureBeat mengapa kesenjangan tata kelola masih ada. “Segala sesuatu yang tampaknya memiliki unsur keamanan siber umumnya dimasukkan ke dalam kategori risiko keamanan siber, yang merupakan sebuah fiksi belaka. Mereka harus fokus pada risiko bisnis, karena jika hal tersebut tidak berdampak pada bisnis, seperti kerugian finansial, maka tidak ada seorang pun yang akan memperhatikannya, dan mereka tidak akan menganggarkannya dengan tepat, dan mereka juga tidak akan melakukan kontrol yang memadai untuk mencegahnya,” kata McGladrey kepada VentureBeat sebelumnya. Mitra pialang di perusahaan konsultan besar berbagi melalui Signal bahwa mereka membangun aplikasi bayangan AI di Google Colab dan toko mereka dalam wadah S3 untuk memampatkan satu minggu analisis keuangan menjadi satu jam. Proses persetujuan memakan waktu terlalu lama, sehingga mereka mengabaikannya. Tata kelola pada waktu penerapan, kegagalan saat runtimeReviews memeriksa persyaratan fungsional saat model dikirimkan, namun tidak pernah memeriksa asal model, penyimpangan perilaku, atau apakah agen memperluas izinnya sendiri setelah peluncuran. CEO CrowdStrike George Kurtz mengungkapkan di RSA Conference 2026 bahwa agen AI CEO Fortune 50 menulis ulang kebijakan keamanan perusahaan untuk memperluas otonominya sendiri. Perusahaan menangkapnya secara tidak sengaja. Setiap pemeriksaan kredensial telah berlalu. “Di era agenik, untuk bertahan melawan musuh yang dipercepat oleh AI dan mengamankan sistem AI itu sendiri, diperlukan pengoperasian dengan kecepatan mesin,” kata Kurtz. Tinjauan tata kelola triwulanan tidak berjalan dengan kecepatan mesin. Mike Riemer, Field CISO di Ivanti, memasukkan pembelajaran tersebut ke dalam pengembangan agen AI yang dilakukan timnya. “Ini bagus untuk apa yang saya inginkan, tapi juga bagus untuk apa yang tidak saya inginkan, dan apa yang tidak saya inginkan itu berbahaya,” kata Riemer kepada VentureBeat. Data halusinasi menambah masalah. Enam puluh delapan persen profesional TI telah menyaksikan sendiri AI menghasilkan halusinasi dengan potensi dampak operasional, menurut Ivanti. Lebih dari separuhnya mengetahui kesalahan sebelum terjadinya kerusakan, namun 16% tidak. Namun di antara pengguna AI yang paling mahir, 49% sepenuhnya mempercayai keluaran yang dihasilkan AI yang memengaruhi keputusan TI. Riemer menjelaskan pola tersebut dalam wawancara eksklusif dengan VentureBeat. “Ada orang-orang yang hanya menerima apa yang telah diberikan kepada mereka tanpa memahami sepenuhnya apa yang mereka lakukan, hal yang telah kami temukan di industri teknologi selama beberapa dekade,” kata Riemer. Mereka hanya mulai mengukurnya dari hasilnya.” CSO Qualtrics Assaf Keren mengidentifikasi ketegangan inti dalam sebuah wawancara eksklusif dengan VentureBeat. Organisasi-organisasi memperkenalkan “pengambilan keputusan non-deterministik ke dalam lingkungan yang dibangun untuk deterministik.” Keren mengutip data internal Qualtrics yang menunjukkan bahwa 22% triase SOC kini digerakkan oleh AI. Tidak ada ambang batas terkodifikasi yang memisahkan apa yang dapat dijalankan secara otomatis oleh agen dan apa yang memerlukan manusia dalam lingkarannya. Jendela 18 bulanJendela untuk memperbaiki hal ini sudah ditutup. Organisasi TI mengharapkan AI untuk mengotomatiskan 46% operasi mereka dalam waktu 18 bulan, menurut Ivanti. Perusahaan-perusahaan AS memproyeksikan 52%. Tata kelola sudah menjadi hambatan yang paling sering disebutkan dalam penerapan teknologi yang lebih cepat, melebihi tantangan keterampilan, teknologi, dan data. Kesenjangan kedewasaan membuat kesenjangan tata kelola menjadi lebih berbahaya. Para profesional TI di organisasi yang sudah matang dengan AI menghemat enam jam per minggu, dua kali lipat dibandingkan tiga jam yang dihemat pada tingkat yang paling tidak matang. Hampir 9 dari 10 profesional TI di organisasi skala besar mengatakan AI sering membantu mendeteksi atau menyelesaikan masalah sebelum karyawan terkena dampaknya. Pada organisasi eksperimen awal, jumlah tersebut turun menjadi empat dari sepuluh. Enam puluh sembilan persen organisasi skala besar melaporkan tata kelola yang tertanam sepenuhnya, dibandingkan dengan 15% pada eksperimen awal. Sumber: Ivanti, Scaling AI in IT Operations: The Path to Maturity pada tahun 2026. Tanggapan dari para profesional TI (n=1.500). Tanggapan dibulatkan ke persentase terdekat. Presiden Cisco Jeetu Patel membahas skenario hipotetis dalam sebuah wawancara di RSAC 2026: seorang agen yang mengenakan biaya $40.000, mengundang pesaing ke saluran Slack, dan memublikasikan alamat rumah. “Permintaan maaf bukanlah pagar pembatas,” kata Patel kepada VentureBeat. VP Threat Intelligence Cato Networks, Etay Maor, memaparkan masalah akuntabilitas dalam wawancara terpisah dengan RSAC. “Mereka lebih dekat dengan manusia. Mengapa kita tidak melakukan pemeriksaan latar belakang terhadap agen?” “Melanjutkan satu tindakan tidak berarti melanjutkan ke tindakan berikutnya,” kata SVP Perangkat Lunak AI dan Platform Cisco DJ Sampath dalam wawancara terpisah. McGladrey menjelaskan akar permasalahannya. Organisasi secara default mengkloning profil pengguna manusia untuk agen, dan perluasan izin dimulai pada hari pertama. “Izin yang digunakan jauh lebih banyak dari yang seharusnya, lebih dari yang bisa dilakukan manusia, karena kecepatan skala dan niatnya,” katanya. Tim Riemer memasukkan tata kelola ke dalam proses pengembangan Ivanti sendiri. “Kami memiliki pemeriksaan AI di atas AI untuk memastikan bahwa hal itu sudah diperbaiki. Dua model berbeda, dua pabrikan berbeda,” kata Riemer. “Jika salah satu AI percaya bahwa AI lainnya telah memperbaikinya dengan tepat, maka AI tersebut akan meneruskannya kepada manusia.” Riemer mengajukan pertanyaan kepada vendor dalam istilah yang dapat digunakan oleh setiap CISO di meja perundingan. “Jika vendor tersebut tidak memiliki cara untuk menunjukkan kepada Anda apa yang telah mereka lakukan dari perspektif pengembangan untuk meningkatkan proses pengembangan mereka, Anda benar-benar perlu mempertanyakan mengapa Anda bekerja dengan vendor tersebut,” katanya. Enam pertanyaan di bawah ini menargetkan dimensi tata kelola di mana penegakan hukum gagal pada saat runtime. CISO dapat menggunakannya selama pembaruan vendor Q3 untuk memisahkan penegakan runtime pengiriman vendor dari dokumentasi pengiriman vendor. Enam pertanyaan tata kelola untuk pembaruan Q3 Dimensi tata kelola Apa yang dibuktikan oleh dataMengapa tata kelola gagal? Pertanyaan pembaruan Q3 Bukti artefak yang diminta AI bayangan eksekutif Pemimpin menyembunyikan AI sebesar 42% vs. 23% seluruh karyawan. 52% bersembunyi untuk “keuntungan rahasia”. Industri-industri yang diatur memiliki tingkat tertinggi yang tidak diberi sanksi. Tata kelola mengasumsikan para penulis kebijakan mengikuti kebijakan. Pemimpin duduk di atas kontrol yang mereka tulis. Dapatkah DLP, browser, SSE, dan telemetri titik akhir Anda mendeteksi pergerakan data AI di lapisan eksekutif dengan cakupan yang sama dengan semua pengguna lainnya? DLP lapisan eksekutif, browser, SSE, dan log telemetri titik akhir menunjukkan cakupan yang sama dengan semua pengguna lainnya. Kepemilikan agen yang disebutkan 85% mengklaim pemilik yang disebutkan. Hanya 42% yang menyatakan kepemilikannya jelas. Kesenjangan 43 poin. Pemilik di spreadsheet. Agen saat runtime. Tidak ada yang menguji apakah pemilik dapat mematikan agen yang sedang dimuat. Bisakah Anda menyebutkan nama pemilik untuk setiap agen AI? Bisakah pemilik tersebut mencabut akses dalam 60 detik?Demo langsung pencabutan akses agen selama 60 detik di bawah beban produksi. Tinjauan pra-penerapan65% memiliki tinjauan risiko pra-penerapan. Secara terpisah, hanya 24% yang mengatakan bahwa kebijakan AI dipatuhi “dengan sangat konsisten”. Ulasan ada. Penegakan tidak. Tinjauan memeriksa persyaratan fungsional saat penerapan. Jangan pernah memeriksa asal model atau penyimpangan perilaku saat runtime. Apakah ulasan Anda mencakup asal model? Apakah ini diberlakukan atau bersifat nasihat? Sertifikat asal model dengan log penegakan menunjukkan penerapan yang diblokir. Penegakan kebijakan 58% memiliki kebijakan penggunaan yang dapat diterima. 24% mengikuti dengan “sangat konsisten”. Didokumentasikan. Tidak dipraktikkan. Agen mengejar tujuannya melewati setiap batasan. Pencarian tujuan tidak berhenti pada dokumen yang tidak pernah dibaca oleh model. Apakah kebijakan ditegakkan oleh gerbang sisi server atau oleh kepatuhan agen? Berapa persentase tindakan yang dibatasi? Jejak audit gerbang sisi server dengan persentase tindakan agen yang dibatasi vs. tidak dibatasi. Ambang batas kepercayaan68% telah melihat halusinasi dengan dampak operasional. 49% pengguna tingkat lanjut sepenuhnya memercayai keluaran. Tidak ada batasan terkodifikasi yang memisahkan eksekusi otomatis dan peninjauan manusia. Tindakan agen mana yang dijalankan secara otomatis dan yang memerlukan peninjauan manusia? Apakah hal tersebut ditegakkan dalam kebijakan atau dalam platform? Matriks ambang batas terdokumentasi yang mengklasifikasikan setiap tindakan agen sebagai eksekusi otomatis atau peninjauan manusia. Otorisasi per tindakan Tata kelola adalah penghalang #1 dengan tingkat 27%. Keterampilan 20%. Teknologi 17%. Data 14%. Tinjauan pengawasan setiap triwulan. Agen bertindak per detik. Apakah otorisasi per tindakan diterapkan pada waktu proses atau hanya pada peninjauan waktu penerapan? Bisakah agen mengumpulkan izin tanpa otorisasi ulang? Log otorisasi waktu proses menunjukkan peristiwa gerbang per tindakan dan stempel waktu otorisasi ulang izin. Sumber data dari Ivanti, Scaling AI in IT Operations: The Path to Maturity pada tahun 2026 (n=1.500 profesional TI, total 3.900 karyawan, enam negara, Februari–Maret 2026). Sumber CISO eksklusif oleh VentureBeat.Evans menempatkan struktur di sekitar percakapan dewan Clearwater. Bank CISO yang dijelaskan Robbins berasumsi bahwa AI ada di mana-mana dan diatur berdasarkan pengendalian, bukan penemuan. Tata kelola yang mencoba mengkatalogkan setiap alat AI bayangan akan gagal karena permukaannya tumbuh lebih cepat daripada inventaris apa pun. Pada organisasi berskala besar yang sangat penting bagi bisnis, 54% profesional TI mengatakan bahwa AI membuat pekerjaan mereka lebih cepat dan lebih baik, menurut Ivanti. Di organisasi eksperimen awal, 24% mengatakan hal yang sama. Di organisasi berskala besar, akuntabilitas ada di dalam platform. Pada awalnya, hal ini terdapat dalam dokumen yang tidak pernah dibaca oleh agen. Keenam pertanyaan di atas memberi setiap CISO cara untuk menguji apakah tata kelola mereka benar-benar berfungsi pada hal yang penting. Saat runtime, saat dimuat, dan sebelum pembaruan berikutnya, pemeriksaan selesai.
Diterbitkan : 2026-06-15 17:19:00
sumber : venturebeat.com
