Checklist Keamanan AI Agent: Apa yang Perlu Dicek Sebelum Mendelegasikan Kerja

Checklist praktis untuk meninjau tool, prompt, batas data, permission, log, dan approval sebelum AI agent mengambil tindakan.

Oleh Outlook IT Research · Riset sistem AI dan workflow developer

Terakhir diperbarui pada

Panel review keamanan AI agent yang menunjukkan tool, prompt, sumber data, permission, log, dan approval sebelum tugas didelegasikan

AI agent bergerak dari chat menjadi sistem kerja. Ia bisa membaca file, membuka halaman, memanggil tool, membuat pull request, mengubah record, dan mengambil keputusan dalam beberapa langkah. Itu mengubah pertanyaan keamanan: bukan hanya “apakah model menjawab salah?”, tetapi “apa yang bisa dilakukan sistem jika ia salah memahami tugas atau percaya input yang salah?”

Checklist keamanan AI agent adalah review praktis sebelum tim mendelegasikan pekerjaan nyata. Ia melihat prompt, tool, sumber data, permission, memori, log, dan titik approval manusia.

Apa yang berubah

Risiko awal produk AI berpusat pada teks yang dihasilkan. Model bisa halusinasi, membocorkan konteks, atau mengikuti instruksi jahat. Agent menambah permukaan karena reasoning model digabungkan dengan sistem eksternal.

Workflow agent modern dapat mencakup file lokal, repository, ticket, database, tool API atau MCP, browser action, memori sesi, permission pengguna, dan perencanaan multi-langkah.

Karena itu, “prompt yang lebih baik” tidak cukup. Agent yang andal butuh batas tentang data mana yang dipercaya, tool mana yang boleh dipakai, aksi mana yang perlu konfirmasi, dan bagaimana manusia bisa mengaudit hasilnya.

Tiga layer risiko

Diagram showing instructions, tools, and data as the three risk layers for AI agent security

LayerRisikoPertanyaan review
InstructionsHalaman, email, ticket, atau dokumen mencoba menimpa aturan tugasBisakah agent membedakan instruksi user dan konten tidak terpercaya?
ToolsTool terlalu luas, dipalsukan, diracuni, atau dikombinasikan secara berbahayaApakah agent hanya melihat tool yang dibutuhkan tugas ini?
DataData tidak terpercaya dianggap sebagai metadata, asal file, output tool, atau konteks eksekusiBisakah sistem memisahkan data terpercaya dari data yang dikontrol pihak luar?

Masalah barunya adalah agent tidak hanya membaca teks berbahaya. Ia bisa memakai teks itu untuk memilih tool, klik tombol, menulis kode, atau mengubah data bisnis.

Prompt injection, tool poisoning, dan data injection

RisikoArti sederhanaContoh
Prompt injectionKonten tidak terpercaya mencoba mengganti instruksi agentHalaman web meminta agent membocorkan instruksi tersembunyi
Tool poisoningDeskripsi atau metadata tool memengaruhi cara model memilih toolTool palsu mengklaim harus dipakai untuk semua data finansial
Agent data injectionData jahat menyamar sebagai konteks terpercayaRepository atau respons tool memanipulasi path file, asal data, atau konteks eksekusi

Konten berbahaya tidak selalu terlihat seperti perintah. Ia bisa berupa link, label, nama tool, asal file, patch, atau respons terstruktur.

Checklist sebelum mendelegasikan kerja

Seven-step AI agent delegation checklist for task scope, data boundaries, tools, permissions, credentials, logs, and adversarial tests

CekDefault yang baikSinyal risiko
Scope tugasSatu pekerjaan jelas dan satu kondisi suksesAgent diminta menangani apa pun yang muncul
Batas dataInput terpercaya dipisah dari konten tidak terpercayaWeb, email, ticket, dan output tool dicampur
Inventory toolSetiap tool punya owner, tujuan, dan permissionAgent melihat toolbox besar dan kabur
PermissionRead-only default; write action perlu approvalAgent bisa edit, delete, deploy, pay, atau email sendiri
KredensialToken scoped, bisa dirotasi, dan spesifik layananToken diteruskan terlalu luas
Approval manusiaAksi eksternal atau destruktif berhenti untuk reviewAgent bisa menjalankan aksi irreversible
LoggingPrompt, tool call, output, approval, dan aksi final disimpanHanya jawaban akhir yang terlihat
Test setAda contoh normal, berantakan, dan adversarialHanya demo happy path

Aturan sederhana: jika aksi sulit dibatalkan, agent tidak boleh melakukannya tanpa approval manusia.

Review khusus MCP

Sebelum memakai MCP server dalam workflow agent, tanyakan:

  • Siapa pemilik server, dan apakah implementasinya bisa dipercaya?
  • Data dan aksi apa yang dibuka?
  • Apakah nama dan deskripsi tool cukup jelas untuk dipilih model?
  • Bisakah scope dipersempit per task atau user?
  • Apakah authorization memakai consent per client dan redirect URI yang tepat?
  • Apakah token diterbitkan untuk MCP server, bukan diteruskan membabi buta?
  • Apakah client bisa memblokir request ke endpoint internal atau metadata?
  • Apakah tool call tercatat cukup detail?

Setup MCP yang aman bukan yang punya tool paling banyak, tetapi yang hanya membuka tool yang dibutuhkan.

Checklist coding agent

Coding agent perlu review tambahan karena menyentuh repository, terminal, dependency, build script, dan CI.

Sebelum mengizinkanCek
Edit fileBatasi working directory dan review patch
CommandPisahkan command read-only dari install, delete, deploy, atau mutasi state
DependencyCek package name, registry, lockfile, dan postinstall script
SecretsJangan biarkan token masuk prompt, log, file, atau shell history
Pull requestWajib test, diff review, dan provenance yang jelas
Input eksternalAnggap issue, README, komentar, dan snippet web sebagai data tidak terpercaya

Coding agent bisa produktif, tetapi review path harus tetap terlihat.

Apa yang bisa dilakukan tim kecil minggu ini

  1. Pilih satu workflow berulang, misalnya meringkas ticket atau draft PR.
  2. Jalankan dengan akses read-only dulu.
  3. Tulis semua tool yang bisa dipanggil agent.
  4. Hapus tool yang tidak dibutuhkan.
  5. Tambahkan approval untuk write action, pesan eksternal, pembelian, deployment, dan delete.
  6. Simpan raw prompt, tool call, output, dan aksi final.
  7. Uji satu contoh adversarial, misalnya ticket yang meminta agent mengabaikan aturan.

Jika agent tidak bisa menjelaskan data mana yang dipercaya dan tool mana yang dipakai, workflow belum siap otonom.

Update log

Jul 09 2026: Menerbitkan versi Indonesia dengan checklist keamanan agent, review MCP, risiko coding agent, FAQ, dan referensi.

Bacaan terkait