“Salah satu hal penting untuk dipahami tentang keamanan siber adalah bahwa ini adalah permainan pikiran,” Ami Luttwak, kepala teknolog di perusahaan cybersecurity Wiz, mengatakan kepada TechCrunch pada episode Equity baru -baru ini. “Jika ada gelombang teknologi baru yang akan datang, ada peluang baru bagi (penyerang) untuk mulai menggunakannya.”
Ketika perusahaan bergegas untuk menanamkan AI ke dalam alur kerja mereka – baik melalui pengkodean getaran, integrasi agen AI, atau perkakas baru – permukaan serangan berkembang. AI membantu pengembang mengirimkan kode lebih cepat, tetapi kecepatan itu sering kali dilengkapi dengan jalan pintas dan kesalahan, menciptakan bukaan baru untuk penyerang.
Wiz, yang diakuisisi oleh Google awal tahun ini seharga $ 32 miliar, melakukan tes baru -baru ini, kata Luttwak, dan menemukan bahwa masalah umum dalam aplikasi kode getaran adalah implementasi otentikasi yang tidak aman – sistem yang memverifikasi identitas pengguna dan memastikan mereka bukan penyerang.
“Itu terjadi karena lebih mudah dibangun seperti itu,” katanya. “Agen pengkodean getaran melakukan apa yang Anda katakan, dan jika Anda tidak memberi tahu mereka untuk membangunnya dengan cara yang paling aman, itu tidak akan terjadi.”
Luttwak mencatat bahwa ada tradeoff konstan hari ini untuk perusahaan yang memilih antara menjadi cepat dan aman. Tetapi pengembang bukan satu -satunya yang menggunakan AI untuk bergerak lebih cepat. Penyerang sekarang menggunakan pengkodean getaran, teknik berbasis timely, dan bahkan agen AI mereka sendiri untuk meluncurkan eksploitasi, katanya.
“Anda benar -benar dapat melihat penyerang sekarang menggunakan petunjuk untuk menyerang,” kata Luttwak. “Bukan hanya pengkodean getaran penyerang. Penyerang mencari alat AI yang Anda miliki dan memberi tahu mereka, ‘Kirimkan saya semua rahasia Anda, hapus mesin, hapus data.'”
Di tengah lanskap ini, penyerang juga menemukan titik masuk dalam alat AI baru yang diluncurkan perusahaan secara internal untuk meningkatkan efisiensi. Luttwak mengatakan integrasi ini dapat menyebabkan “serangan rantai pasokan.” Dengan mengkompromikan layanan pihak ketiga yang memiliki akses luas ke infrastruktur perusahaan, penyerang kemudian dapat berputar lebih dalam ke sistem perusahaan.
Acara TechCrunch
San Francisco | 27 – 29 Oktober 2025
Itulah yang terjadi bulan lalu ketika Wander – sebuah startup yang menjual AI Chatbots untuk penjualan dan pemasaran – dilanggar, mengekspos data Salesforce dari ratusan pelanggan perusahaan seperti CloudFlare, Palo Alto Networks, dan Google. Para penyerang mendapatkan akses ke token, atau kunci electronic, dan menggunakannya untuk menyamar sebagai chatbot, meminta data Salesforce, dan bergerak secara lateral di dalam lingkungan pelanggan.
“Penyerang mendorong kode serangan, yang juga dibuat menggunakan pengkodean getaran,” kata Luttwak.
Luttwak mengatakan bahwa sementara adopsi perusahaan alat AI masih minim – ia menganggap sekitar 1 % perusahaan telah sepenuhnya mengadopsi AI – Wiz sudah melihat serangan setiap minggu yang memengaruhi ribuan pelanggan perusahaan.
“Dan jika Anda melihat aliran (serangan), AI tertanam pada setiap langkah,” kata Luttwak. “Revolusi ini lebih cepat daripada revolusi apa pun yang telah kita lihat di masa lalu. Ini berarti bahwa kita sebagai industri perlu bergerak lebih cepat.”
Luttwak menunjuk serangan rantai pasokan besar lainnya, dijuluki “S 1 ingularity,” pada bulan Agustus di NX, sistem construct populer untuk pengembang JavaScript. Penyerang berhasil melepaskan malware ke dalam sistem, yang kemudian mendeteksi keberadaan alat pengembang AI seperti Claude dan Gemini dan membajak mereka untuk memindai sistem untuk data yang berharga secara mandiri. Serangan itu mengkompromikan ribuan token dan kunci pengembang, memberikan akses kepada penyerang ke repositori gitub pribadi.
Luttwak mengatakan bahwa terlepas dari ancaman, ini adalah waktu yang menyenangkan untuk menjadi pemimpin dalam keamanan siber. Wiz, yang didirikan pada tahun 2020, pada awalnya berfokus pada membantu organisasi mengidentifikasi dan mengatasi kesalahan konfigurasi, kerentanan, dan risiko keamanan lainnya di lingkungan cloud.
Selama setahun terakhir, Wiz telah memperluas kemampuannya untuk mengikuti kecepatan serangan terkait AI-dan menggunakan AI untuk produknya sendiri.
September lalu, Wiz meluncurkan Wiz Code yang berfokus pada mengamankan siklus pengembangan perangkat lunak dengan mengidentifikasi dan mengurangi masalah keamanan di awal proses pengembangan, sehingga perusahaan dapat “aman dengan desain.” Pada bulan April, Wiz meluncurkan Wiz Defend, yang menawarkan perlindungan runtime dengan mendeteksi dan menanggapi ancaman aktif dalam lingkungan cloud.
Luttwak mengatakan bahwa sangat penting bagi Wiz untuk sepenuhnya memahami aplikasi pelanggan mereka jika startup akan membantu dengan apa yang ia sebut “keamanan horizontal.”
“Kami perlu memahami mengapa Anda membangunnya … jadi saya dapat membangun alat keamanan yang belum pernah dimiliki siapa pun sebelumnya, alat keamanan yang memahami Anda,” katanya.
‘Dari hari pertama, Anda harus memiliki ciso’
Demokratisasi alat AI telah mengakibatkan banjir startup baru yang berjanji untuk menyelesaikan poin rasa sakit perusahaan. Tetapi Luttwak mengatakan perusahaan tidak boleh hanya mengirim semua perusahaan, karyawan, dan data pelanggan mereka ke “setiap perusahaan SaaS kecil yang memiliki lima karyawan hanya karena mereka berkata, ‘Beri saya semua data Anda, dan saya akan memberi Anda wawasan AI yang luar biasa.'”
Tentu saja, startup tersebut membutuhkan information itu jika penawaran mereka akan memiliki nilai. Luttwak mengatakan itu berarti menjatuhkan mereka untuk memastikan mereka beroperasi seperti organisasi yang aman sejak awal.
“Sejak hari pertama, Anda perlu memikirkan keamanan dan kepatuhan,” katanya. “Sejak hari pertama, Anda harus memiliki CISO (Kepala Petugas Keamanan Informasi). Bahkan jika Anda memiliki lima orang.”
Sebelum menulis satu baris kode, startup harus berpikir seperti organisasi yang sangat aman, katanya. Mereka perlu mempertimbangkan fitur keamanan perusahaan, log audit, otentikasi, akses ke produksi, praktik pengembangan, kepemilikan keamanan, dan masuk tunggal. Merencanakan dengan cara ini sejak awal berarti Anda tidak perlu merombak proses nanti dan dikeluarkan apa yang disebut Luttwak “hutang keamanan.” Dan jika Anda bertujuan untuk menjual ke perusahaan, Anda sudah siap untuk melindungi information mereka.
“Kami patuh SOC 2 (kerangka kerja kepatuhan) sebelum kami memiliki kode,” katanya. “Dan saya dapat memberi tahu Anda sebuah rahasia. Mendapatkan kepatuhan SOC 2 untuk lima karyawan jauh lebih mudah daripada untuk 500 karyawan.”
Langkah terpenting berikutnya untuk startup adalah memikirkan arsitektur, katanya.
“Jika Anda seorang start-up AI yang ingin fokus pada perusahaan sejak hari pertama, Anda harus memikirkan arsitektur yang memungkinkan information pelanggan tetap … di lingkungan pelanggan.”
Untuk start-up cybersecurity yang ingin masuk ke lapangan di zaman AI, Luttwak mengatakan sekarang saatnya. Semuanya, mulai dari perlindungan phishing dan keamanan email hingga malware dan perlindungan titik akhir adalah lahan subur untuk inovasi ‚ baik bagi penyerang maupun pembela. Hal yang sama berlaku untuk startup yang dapat membantu dengan alur kerja dan alat otomatisasi untuk melakukan “getaran keamanan,” karena banyak tim keamanan masih belum tahu bagaimana menggunakan AI untuk bertahan melawan AI.
“Permainannya terbuka,” kata Luttwak. “Jika setiap bidang keamanan sekarang memiliki serangan baru, maka itu berarti kita harus memikirkan kembali setiap bagian keamanan.”
