Skema peninjauan sukarela AI Trump dinilai memperlebar kesenjangan antara pelaku jahat dan pembela siber
Perintah eksekutif (Executive Order/EO) terbaru Presiden Donald Trump berpotensi mempererat hubungan antara penyedia model kecerdasan buatan dan Washington, namun dengan konsekuensi yang tidak kecil. Meski EO yang diteken pada 2 Juni itu menegaskan bahwa keamanan siber dan model AI kini kian tak terpisahkan, langkah ini tidak seharusnya membuat perusahaan mengendurkan uji tuntas (due diligence) mereka sendiri. Lebih jauh, kebijakan tersebut tampak menciptakan garis pemisah baru: sebagian perusahaan berpotensi tersisih dari akses ke alat AI mutakhir, sementara pihak lain justru memperoleh hak istimewa berupa akses awal.
Perintah berjudul “Promoting Advanced Artificial Intelligence Innovation and Security” itu membentuk sebuah kerangka kerja peninjauan keamanan siber secara sukarela. Melalui mekanisme ini, pengembang AI dapat memberikan akses kepada pemerintah federal dan sejumlah mitra tepercaya ke model mereka hingga 30 hari sebelum peluncuran publik, untuk dilakukan penilaian keamanan. EO tersebut juga menugaskan Departemen Keuangan membentuk sebuah pusat informasi (clearinghouse) keamanan siber AI yang akan bekerja sama dengan perusahaan teknologi dan operator infrastruktur kritis guna mendeteksi, memvalidasi, dan menambal (patch) kelemahan perangkat lunak yang ditemukan oleh model AI.
Kashyap Kompella, CEO dan pendiri RPA2AI Research, menilai EO ini lebih tepat dipahami sebagai langkah kesiapsiagaan keamanan siber ketimbang strategi industrial AI. Menurutnya, pendekatan pemerintah adalah menjaga kecepatan inovasi sektor swasta sambil memastikan adanya sistem peringatan dini bagi pemerintah ketika model-model frontier berpotensi menimbulkan risiko siber serius. Dengan kata lain, Washington berupaya menempatkan diri sebagai mitra pengawas, bukan sekadar regulator.
Perintah ini lahir di tengah kekhawatiran yang kian menguat bahwa model AI telah mencapai tingkat kapabilitas yang membuat tim keamanan siber tradisional sulit mengimbangi ancaman dari pelaku jahat yang memanfaatkan AI untuk mengeksploitasi celah keamanan. Kekhawatiran tersebut melonjak setelah Anthropic memperkenalkan Claude Mythos, sebuah large language model (LLM) canggih yang dikategorikan sebagai model dengan kapabilitas keamanan siber yang bersifat agenik dan otonom—mampu memproses rangkaian serangan siber end-to-end dan menulis kode eksploitasi bug secara mandiri.
Menanggapi langkah Anthropic, OpenAI meluncurkan inisiatif Daybreak, yang secara konseptual mirip dengan Project Glasswing milik Anthropic. Keduanya dirancang untuk membatasi potensi kerusakan di ranah keamanan siber dengan memanfaatkan AI sebagai alat pertahanan, bukan sekadar sumber risiko. Dalam konteks ini, EO Trump berupaya memposisikan pemerintah sebagai simpul koordinasi antara pengembang model frontier dan infrastruktur keamanan nasional.
Menurut Kompella, perintah ini dapat meningkatkan kepercayaan publik dan mengurangi risiko terjadinya insiden siber besar yang didukung AI. EO tersebut juga memberikan insentif kuat bagi pengembang model untuk mempertahankan hubungan erat dengan Washington. “AI di sektor publik merupakan peluang besar, dan kerja sama dalam keamanan siber serta keamanan nasional dapat menjadi sinyal pasar yang berguna,” ujarnya. Namun, ia mengingatkan bahwa tidak semua vendor akan bersedia mengikuti proses sukarela ini. Jika sebagian pengembang memilih untuk berada di luar orbit Washington, pemerintah akan memiliki lebih sedikit instrumen untuk mencegah peluncuran model-model berisiko tinggi.
Dalam skenario seperti itu, pemerintah terpaksa mengandalkan perangkat lain: aturan pengadaan, tolok ukur keamanan siber, kontrol ekspor, regulasi sektoral, penegakan pasca-peluncuran, hingga tekanan reputasi. Kompella menekankan bahwa EO ini lebih tepat dipahami sebagai kerangka pengawasan yang sedang berkembang, bukan rezim regulasi AI yang komprehensif. James Cooper, profesor di California Western School of Law, menyoroti kelemahan mendasar dari pendekatan sukarela ini. “Ada ketergantungan yang terlalu besar pada perusahaan untuk memilih mematuhi aturan ini, karena sifat proses yang sukarela mengandalkan korporasi teknologi untuk bersikap bertanggung jawab secara sipil,” katanya. “Itu tuntutan yang sangat besar dalam perlombaan AI global dengan kemungkinan dampak yang begitu mengubah hidup, baik positif maupun negatif.”
Cooper mengingatkan bahwa setiap sistem hukum yang efektif membutuhkan bukan hanya norma dan aturan, tetapi juga institusi yang mampu menegakkannya. Tanpa mekanisme penegakan yang jelas, EO ini berisiko menjadi sekadar deklarasi niat baik. Kompella menambahkan bahwa periode peninjauan 30 hari yang ditetapkan EO tidak memadai untuk menilai risiko secara menyeluruh, meski dalam jangka waktu tersebut pemerintah dapat mengidentifikasi risiko keamanan siber dan lompatan kapabilitas berbahaya. Keputusan pembelian AI berskala besar, jelasnya, tidak pernah terjadi secepat itu; proses pengadaan, kepatuhan, peninjauan keamanan, dan perencanaan integrasi biasanya memakan waktu jauh lebih lama.
Dengan demikian, peninjauan 30 hari sebaiknya dipandang sebagai penilaian risiko awal, bukan evaluasi komprehensif. Ini adalah filter pertama, bukan garis akhir. Namun, di balik desain yang tampak pragmatis itu, EO menyimpan tantangan lain yang lebih struktural: akses yang sangat terbatas terhadap model AI berkapabilitas tinggi.
Salah satu kritik paling tajam datang dari Doc McConnell, kepala Kebijakan dan Kepatuhan di Finite State, sebuah vendor keamanan siber dan manajemen risiko rantai pasok perangkat lunak. Ia menilai EO ini hanya memberikan akses ke model-model frontier seperti Mythos kepada segelintir perusahaan dan lembaga pemerintah, sementara sebagian besar pemimpin keamanan siber tetap berada di luar pagar. “Upaya menahan informasi ini demi mencegah penggunaan alat pertahanan siber paling kuat justru menciptakan hambatan bagi pihak-pihak yang mematuhi aturan,” kata McConnell.
Sementara para pembela siber dibatasi aksesnya, pelaku jahat akan terus mencari cara untuk mengelak dari kontrol dan mengakses model yang membantu mereka mencapai target. “Setiap kali kita memiliki asimetri seperti ini dalam sistem keamanan siber, hal itu cenderung menguntungkan pelaku jahat dan merugikan para pembela siber,” ujar McConnell. Menurutnya, alat dan model AI seharusnya tersedia secara luas, terutama bagi mereka yang berada di garis depan pertahanan. “[Para pembela siber] sudah berada di bawah serangan,” lanjutnya. “Mereka sudah mengalami peningkatan masif dalam volume dan kecanggihan serangan, dan kita perlu mempersenjatai mereka dengan alat yang tepat agar mereka dapat melindungi diri mereka sendiri, serta data dan sistem yang menjadi tanggung jawab mereka.”
Dalam pandangan McConnell, kunci untuk menyeimbangkan dinamika ini adalah membangun konsensus baru tentang peran lembaga federal seperti Cybersecurity and Infrastructure Security Agency (CISA). Ia menegaskan bahwa peran terbaik lembaga-lembaga tersebut adalah sebagai fasilitator informasi, bukan sebagai penjaga gerbang eksklusif. Mereka bekerja paling efektif ketika mengumpulkan informasi dari berbagai sumber, kemudian menggunakan analisis pakar untuk menentukan informasi mana yang harus segera disalurkan ke organisasi lain. Dengan kata lain, nilai tambah pemerintah terletak pada kurasi dan distribusi informasi, bukan monopoli akses.
Bagi perusahaan, menunggu kerangka regulasi yang sempurna bukanlah pilihan realistis. McConnell mendorong organisasi untuk mulai mengintegrasikan model-model yang sudah tersedia di pasar ke dalam alur kerja, kemampuan pemantauan keamanan siber, dan operasi mereka sekarang. “Mereka harus membangun AI ke dalam proses tersebut untuk memastikan bahwa mereka merespons secepat dan seefisien mungkin,” ujarnya. Di tengah percepatan ancaman, ketertinggalan dalam adopsi AI dapat menjadi kelemahan struktural.
Kompella menambahkan bahwa perusahaan tidak boleh menganggap tinjauan federal sebagai substitusi penilaian risiko internal. Perusahaan tetap membutuhkan mekanisme keamanan sendiri dan harus memastikan bahwa alat serta agen AI diterapkan dengan kontrol akses yang jelas, pencatatan (logging) yang memadai, dan persetujuan manusia untuk tindakan-tindakan sensitif. “Tinjauan federal tidak boleh diperlakukan sebagai pengganti penilaian risiko spesifik perusahaan,” tegasnya. “Perusahaan tetap bertanggung jawab atas bagaimana AI diadakan, dikonfigurasi, dipantau, dan diatur di dalam organisasi mereka sendiri.”
Pada akhirnya, EO Trump tentang AI dan keamanan siber ini mencerminkan ketegangan yang lebih luas dalam tata kelola teknologi frontier: antara inovasi dan kontrol, antara eksklusivitas dan akses, antara kepercayaan pada sektor swasta dan kebutuhan akan penegakan publik. Di satu sisi, perintah ini memberi sinyal bahwa Washington tidak berniat tinggal diam menghadapi lompatan kapabilitas AI. Di sisi lain, desainnya yang sukarela dan eksklusif berisiko memperdalam kesenjangan antara pelaku jahat yang adaptif dan pembela siber yang dibatasi aksesnya. Dalam perlombaan AI global yang kian intens, pertaruhan ini bukan sekadar soal kebijakan, melainkan soal siapa yang pada akhirnya memegang kendali atas infrastruktur digital dunia.
