Apa yang terjadi
Cloud Security Alliance (CSA) menerbitkan RiskRubric V2 pada 8 Juni 2026, memperluas sistem penilaian risiko AI berbasis bukti di luar lapisan model untuk mencakup server MCP, agen tool-use, dan seluruh pipeline AI. V2 menambahkan pilar risiko 'Excessive Agency' baru dan memperkenalkan ekosistem scanner yang dirancang untuk memungkinkan pihak ketiga berkontribusi pada penilaian otomatis. Concept Paper V2 lengkap tersedia dengan pembaruan; platform lengkap dijadwalkan diluncurkan di Q3 2026.
Mengapa penting
RiskRubric V2 adalah salah satu kerangka kerja terstruktur pertama yang secara formal menilai server MCP dan agen AI sebagai entitas risiko yang berbeda di samping model — mengakui bahwa control plane untuk AI agentic (konektivitas tool, identitas agen, cakupan eksekusi) adalah tempat di mana risiko enterprise saat ini terkonsentrasi. Pilar Excessive Agency secara langsung mengatasi tindakan otonom yang over-privileged, yang penelitian AIRQ milik CSA sendiri mengidentifikasi sebagai karakteristik yang mendefinisikan 98% agen AI production.
Tindakan yang diperlukan
Konsultan keamanan AI harus meninjau Concept Paper V2 dan memetakan enam dimensi kepercayaan (Transparency, Reliability, Security, Privacy, Safety, Reputation) plus Excessive Agency terhadap penerapan agentic klien mereka; menggabungkan penilaian RiskRubric V2 ke dalam kuesioner penilaian vendor AI untuk siklus pengadaan Q3.