Apa yang terjadi
Pusat Keamanan Siber Nasional Inggris menerbitkan panduan pada 11 Mei 2026, berjudul '10 Pertanyaan yang Harus Diajukan Saat Menggunakan Model AI untuk Menemukan Kerentanan,' memperingatkan organisasi bahwa sekadar menemukan lebih banyak kerentanan tidak meningkatkan keamanan dan mungkin membuatnya lebih buruk tanpa proses triase, prioritas, dan remediasi yang tepat. Panduan tersebut menekankan bahwa keamanan AI bukanlah disiplin mandiri tetapi harus tertanam dalam kerangka kerja keamanan siber dan tata kelola operasional yang ada.
Mengapa penting
Ini adalah panduan NCSC pertama yang memperlakukan penemuan kerentanan AI sebagai disiplin tingkat papan daripada pilihan peralatan. Panduan tersebut mencatat bahwa dari lebih dari 40.000 CVE yang ditugaskan pada 2025, hanya sekitar 400 yang dieksploitasi secara aktif dan sekitar 40 adalah zero-day saat pertama kali digunakan—menyoroti perlunya patching prioritas daripada penemuan yang didorong volume. Kerangka kerja tersebut mendorong organisasi untuk mempertimbangkan risiko paparan data, izin, yurisdiksi model yang dihosting, dan implikasi anggaran sebelum mengadopsi pemindai kerentanan AI.
Tindakan yang diperlukan
Tim keamanan harus meninjau kerangka kerja 10 pertanyaan sebelum menerapkan alat penemuan kerentanan AI, memastikan proses manajemen kerentanan dapat menangani peningkatan volume temuan, memprioritaskan pemindaian permukaan serangan eksternal, dan memverifikasi hasil deteksi menggunakan validasi AI dan manusia. Organisasi juga harus menilai apakah model AI diperlukan mengingat bahwa kebersihan siber fundamental (menambal kerentanan yang diketahui, manajemen aset) tetap menjadi investasi keamanan ROI tertinggi.