65 Miliar Serangan ke API, Ambisi AI Korporasi Terancam Jadi Bencana

Sebanyak 65 miliar serangan siber menghantam Application Programming Interface atau API di kawasan Asia-Pasifik sepanjang 2025. Lonjakan 23% ini menunjukkan bahwa pintu akses data kini menjadi target utama saat perusahaan mempercepat adopsi kecerdasan buatan untuk layanan pelanggan, otomatisasi, dan pengembangan aplikasi.

Temuan itu muncul dalam laporan 2026 Apps, APIs, and DDoS State of the Internet (SOTI) dari Akamai, yang menyoroti risiko besar di balik ambisi AI korporasi. Saat inovasi bergerak lebih cepat dari pengamanan, celah pada API dapat berubah menjadi kerugian finansial, gangguan operasional, dan hilangnya kepercayaan pelanggan.

API Jadi Titik Masuk Favorit Serangan

Akamai mencatat 61% serangan pada jalur data tahun lalu melibatkan aktivitas yang tidak wajar. Pola ini menunjukkan pergeseran taktik peretas, dari serangan yang kasar menjadi serangan yang lebih senyap dan terarah.

Para pelaku kini tidak selalu berusaha menerobos pertahanan secara langsung. Mereka lebih sering menyamar sebagai pengguna sah lalu memanfaatkan logika bisnis aplikasi untuk mencuri data, memanipulasi transaksi, atau menguras sumber daya sistem.

AI Korporasi Membuka Peluang, Sekaligus Risiko Baru

Di Asia-Pasifik, banyak perusahaan memakai AI untuk mempercepat layanan dan memangkas biaya operasional. Namun, percepatan ini juga menciptakan kesenjangan tata kelola karena keamanan sering tertinggal dari laju inovasi.

Direktur Teknologi dan Strategi Keamanan Akamai untuk Asia Pasifik-Jepang, Reuben Koh, mengatakan penerapan AI di kawasan ini mempercepat transformasi bisnis dengan kecepatan yang belum pernah terjadi sebelumnya. Ia menegaskan bahwa kondisi itu memaksa organisasi meninjau ulang seluruh lanskap risiko mereka.

Reuben menambahkan bahwa perusahaan perlu membangun tata kelola operasional yang lebih kuat agar inovasi tetap aman. Tanpa itu, perusahaan menghadapi risiko gangguan sistem yang luas, kerugian besar, dan penurunan kepercayaan pelanggan.

Bot AI dan Serangan yang Meniru Manusia

Penjahat siber kini memanfaatkan bot cerdas berbasis AI untuk meniru perilaku manusia. Cara ini membuat sistem keamanan tradisional lebih sulit membedakan apakah trafik berasal dari pengguna asli atau dari mesin yang dirancang untuk berbuat jahat.

1. Transaksi ilegal otomatis yang bergerak tanpa intervensi manusia.
2. Pencurian data massal melalui permintaan ke API yang tampak normal.
3. Serangan berulang untuk menguras kuota AI perusahaan yang mahal.
4. Penyalahgunaan akun atau sesi untuk memicu proses bisnis yang sah di permukaan, tetapi berbahaya di belakang layar.

Pola semacam ini membuat banyak perusahaan baru menyadari bahwa risiko AI bukan hanya soal kebocoran data. Risiko itu juga mencakup pembengkakan biaya komputasi, gangguan layanan, dan manipulasi proses bisnis inti.

Serangan ke Proses Transaksi Melonjak Tajam

Laporan Akamai juga menyebut serangan yang menargetkan proses transaksi digital tumbuh 104% secara global dalam dua tahun terakhir. Berbeda dari DDoS tradisional yang membanjiri jaringan, jenis serangan ini langsung melumpuhkan proses spesifik seperti transaksi perbankan dan belanja daring.

Karena sifatnya lebih presisi, dampaknya sering lebih sulit dideteksi sejak awal. Serangan dapat tampak seperti trafik biasa sampai akhirnya sistem gagal memproses transaksi atau layanan menjadi lambat dan tidak stabil.

Vibe Coding Mempercepat Inovasi, Tapi Berisiko Salah Konfigurasi

Tren pembuatan aplikasi instan dengan bantuan AI, atau vibe coding, ikut mempercepat ekspansi digital perusahaan. Teknologi ini memudahkan tim meluncurkan layanan baru dalam waktu singkat, tetapi juga meningkatkan risiko salah konfigurasi pada API.

Masalah muncul saat pintu akses data dibuka ke publik tanpa pengawasan memadai. Dalam situasi seperti ini, aplikasi bisa langsung terekspos sebelum tim keamanan sempat memeriksa apakah akses, autentikasi, dan pembatasan trafik sudah benar.

Beda Tantangan di Negara Maju dan Berkembang

Akamai menilai tantangan di Asia-Pasifik tidak seragam. Di negara maju seperti Singapura dan Jepang, persoalan utamanya adalah bagaimana memantau jutaan API yang terus bertambah dan bergerak sangat cepat.

Sementara itu, di negara berkembang seperti Vietnam dan Thailand, tantangan lebih banyak berkaitan dengan kurangnya tenaga keamanan siber yang memadai. Kondisi ini membuat banyak organisasi kesulitan membangun pengawasan menyeluruh atas aplikasi dan API mereka.

Langkah yang Dinilai Mendesak untuk Perusahaan

Reuben Koh menekankan pentingnya visibilitas real-time terhadap seluruh API yang aktif. Perusahaan juga perlu memisahkan trafik manusia, asisten AI yang sah, dan bot jahat agar sistem tidak salah membaca ancaman.

Berikut langkah yang dinilai paling penting:

1. Memetakan semua API yang terbuka secara real-time.
2. Menerapkan identifikasi yang tegas untuk pengguna, bot, dan agen AI.
3. Menanamkan keamanan sejak tahap pengembangan, bukan setelah aplikasi dirilis.
4. Memantau seluruh tumpukan sistem secara langsung saat aplikasi berjalan.
5. Memastikan proteksi tetap aktif pada tahap runtime ketika layanan dipakai pelanggan.

Akamai menilai keamanan tidak boleh ditempatkan sebagai lapisan tambahan belakangan. Dalam ekosistem AI yang bergerak cepat, perlindungan harus menempel langsung pada proses pengembangan hingga operasional agar perusahaan tidak membayar mahal akibat serangan yang menyasar API.