Pertumbuhan pesat Agentic AI di kawasan Asia Pasifik (APAC) memunculkan risiko baru dalam keamanan digital. Salah satu titik paling rentan adalah API (application programming interface) yang tidak dikelola atau diamankan dengan baik. Temuan ini dipaparkan dalam laporan terbaru F5 berjudul 2025 Strategic Imperatives: Securing APIs for the Age of Agentic AI in APAC, yang mengulas bagaimana percepatan adopsi AI mengubah dinamika ancaman dan eksposur pada API, terutama karena API kini memegang peran penting dalam menjalankan berbagai pengalaman digital modern.
Lebih dari 80% organisasi di APAC—termasuk di Indonesia—sudah mengandalkan API untuk mengoperasikan model AI dan machine learning. API yang awalnya berfungsi sebagai penghubung data kini berkembang menjadi titik eksekusi vital yang memungkinkan sistem Agentic AI mengenali kondisi, mengambil keputusan, dan melakukan tindakan otonom dengan kecepatan tinggi. Tanpa pengamanan yang memadai, kesalahan izin akses atau tata kelola yang lemah dapat memicu tindakan otomatis yang salah dan berpotensi merugikan organisasi dalam skala besar.
Kesenjangan Implementasi Masih Lebar di Tengah Kesadaran Risiko yang Tinggi
Meski 63% perusahaan di Asia Pasifik—dan 76% di Indonesia—menilai keamanan API sebagai sangat penting untuk keberlangsungan bisnis dan kepatuhan regulasi, implementasi praktisnya menunjukkan kesenjangan besar. Hanya 42% organisasi yang memiliki tata kelola API pada tingkat matang, dan bahkan hanya 22% yang memiliki tim khusus untuk keamanan API. Hal ini menyebabkan pengawasan API sering kali tidak konsisten dan membuka celah risiko operasional maupun kepatuhan.
Kondisi di Indonesia sedikit lebih baik, dengan 60–63% organisasi menyatakan tata kelola API mereka berada di tingkat matang. Namun, sekitar 30–40% masih dalam tahap awal, menunjukkan adanya perbedaan antara visi strategis pimpinan dan kesiapan teknis di lapangan. Menariknya, 51% perusahaan di Indonesia telah memiliki tim khusus API security, sebuah langkah penting menuju ketahanan digital yang lebih kuat.
Tantangan Keamanan API Berbeda di Setiap Pasar
Laporan F5 dan Twimbit mengungkap bahwa risiko utama yang dihadapi organisasi di APAC meliputi akses tak terbatas pada alur sensitif (OWASP API6), konsumsi sumber daya berlebihan (OWASP API4), serta salah konfigurasi keamanan (OWASP API8). Satu dari tiga organisasi menilai risiko ini sebagai ancaman paling serius.
Di Indonesia, profil ancamannya menunjukkan pergeseran. Broken authentication (32%) dan server-side request forgery (31%) menjadi ancaman utama, menggambarkan meningkatnya risiko eksploitasi langsung. Sementara itu, isu seperti konsumsi sumber daya berlebih, broken object-level authorization, dan function-level authorization menonjolkan lemahnya kontrol akses dan manajemen permintaan yang masih perlu diperkuat.
Shadow API Masih Menjadi Blind Spot Besar
Shadow API—API aktif yang tidak terdokumentasi—menjadi salah satu perhatian terbesar organisasi. Sebanyak 36% perusahaan di APAC dan 41% di Indonesia menganggapnya sebagai ancaman berisiko tinggi. Namun ironisnya, hanya 38% organisasi secara global dan 53% di Indonesia yang memiliki proses efektif untuk mendeteksinya. Keberadaan Shadow API dan Zombie API yang sudah usang membuka peluang besar bagi serangan siber, terutama di tengah lalu lintas API yang semakin padat akibat penggunaan AI.
Tingkat Kesiapan Operasional Masih Belum Optimal
Walau banyak organisasi sudah memahami bahaya ancaman API, hanya 36% yang memiliki kesiapan lanjut terhadap sebagian besar risiko keamanan API menurut OWASP. Banyak perusahaan masih bergantung pada kontrol perimeter tradisional seperti Web Application Firewall (WAF) dan Identity & Access Management. Padahal, pola interaksi API yang kini serba dinamis dan sering berjalan secara otonom menuntut pendekatan keamanan yang lebih modern dan terintegrasi.
Di Indonesia, 63% organisasi mengaku memiliki kesiapan lanjut atau penuh di beberapa kategori ancaman. Namun tingkat kesiapan penuh terhadap risiko broken authentication dan konsumsi sumber daya tak terkendali masih rendah, menandakan perlunya peningkatan tata kelola sejak tahap awal pengembangan API.
Lima Imperatif Strategis untuk Ketahanan API di Era Agentic AI
Untuk membantu organisasi memperkuat ketahanan dalam menghadapi era Agentic AI, F5 merekomendasikan lima langkah strategis berikut:
- Menetapkan penanggung jawab di tingkat direksi untuk tata kelola API yang menyeluruh dan terpadu.
- Menguatkan kontrol lifecycle API dari proses discovery, posture, runtime, hingga pengujian.
- Menerapkan observabilitas berbasis agen untuk memantau perilaku API secara real-time.
- Mengadopsi kebijakan berbasis OWASP untuk seluruh akses API, baik oleh manusia maupun agen AI.
- Mengaitkan perilaku API dengan tujuan agen AI dan target bisnis, memastikan sistem otonom tetap bergerak dalam batas-batas kebijakan perusahaan.
Laporan ini disusun oleh Twimbit berdasarkan survei terhadap 1.000 praktisi keamanan, DevOps, SecOps, dan pengembang aplikasi dari sepuluh negara di Asia Pasifik, termasuk Indonesia, pada semester pertama 2025.
