Pada 2025 AI menjadi permukaan serangan. Pada 2026, OrcaRouter menjadikan pertahanannya gratis.

Prompt injection kini menjadi risiko No. 1 bagi aplikasi LLM — dan tidak bisa ditambal. OrcaRouter Security Research hari ini merilis Firewall agen serta Guardrails input/output-nya secara gratis untuk setiap pengguna: kunci API yang sama, satu sakelar di konsol, tanpa perubahan kode.

SINGAPURA — 18 Juni 2026 — OrcaRouter, gateway LLM yang kompatibel dengan OpenAI, hari ini menerbitkan Laporan Ancaman AI 2026 dan menjadikan dua kontrol keamanan unggulannya gratis untuk setiap pengguna: Firewall agen dan Guardrails input/output. Tidak ada yang perlu diintegrasikan dan tidak ada yang perlu dibeli — tim cukup menautkan kontrol ke kunci API yang sudah mereka pakai dan membalik satu sakelar.

Laporan Ancaman AI 2026 — 14 risiko utama dalam empat kategori ancaman.

Kesimpulan laporan ini tegas: sistem AI Anda kini adalah permukaan serangan Anda, dan sebagian besar organisasi tidak dapat melihat serangan yang menimpa mereka. Telemetri dari aplikasi LLM produksi menunjukkan serangan yang berhasil rata-rata tuntas dalam 42 detik, dengan 90% di antaranya membocorkan data sensitif (Pillar Security). Serangan prompt injection naik 340% dibanding tahun sebelumnya (OWASP, Q1 2026). Dan 13% organisasi sudah pernah dibobol melalui model atau aplikasi AI — 97% di antaranya tidak memiliki kontrol akses AI dasar (IBM, 2025).

Oleh OrcaRouter Security Research · Juni 2026

Pada Juni 2025, penyerang mengeksfiltrasi data perusahaan dari Microsoft 365 Copilot. Korban tidak melakukan kesalahan apa pun — tidak mengeklik tautan, tidak membuka lampiran, tidak menyetujui prompt. Mereka menerima sebuah email. Asisten AI mereka kemudian membacanya dan menuruti instruksi yang tersembunyi di dalamnya. Diungkap oleh Aim Security sebagai EchoLeak (CVE-2025-32711), serangan ini mengumpulkan data konteks sensitif dari surel, berkas, dan riwayat obrolan lalu menyelundupkannya keluar melalui URL gambar yang dimuat otomatis. Nol klik.

EchoLeak bukan kejadian anomali. Itu adalah pratinjau.

Tahun ketika serangan menjadi agentik — dan kebocoran menjadi berskala industri

Catatan insiden 2026 terbaca seperti uji tekan terhadap setiap asumsi yang menjadi dasar keamanan perusahaan:

•     Chat & Ask AI membiarkan sekitar 300 juta pesan obrolan pribadi dari lebih dari 25 juta pengguna terekspos akibat kesalahan konfigurasi Firebase (404 Media; Malwarebytes, Jan 2026).

•     Sears Home Services mengekspos 3,7 juta transkrip obrolan AI dan rekaman panggilan — nama, alamat, email — sepanjang 2024–2026 (ExpressVPN; Cybernews, Mar 2026).

•     CVE-2026-39987: seorang penyerang merangkai satu kerentanan ini pada alat notebook marimo dengan agen LLM aktif yang mengambil kredensial cloud, menarik kunci SSH dari AWS Secrets Manager, dan mengeksfiltrasi seluruh basis data PostgreSQL internal dalam waktu kurang dari dua menit (Sysdig; The Hacker News, Mei 2026).

•     Microsoft & Salesforce sama-sama merilis tambalan untuk celah kebocoran data pada agen AI. Pada CVE-2026-21520, sebuah kolom SharePoint yang diracuni menggiring Copilot untuk mengirim data pelanggan via email ke penyerang — dan data itu tetap keluar bahkan setelah mekanisme keamanan menandai serangan tersebut (Dark Reading).

•     Denial-of-wallet — agen yang dibajak atau lepas kendali yang sekadar membelanjakan — teramati menghabiskan $46.000 per hari (Sysdig, "LLMjacking"). Tidak ada data yang dicuri. Yang tersisa hanyalah tagihan.

Tiga tahun insiden publik, riset, dan regulasi — 2023 hingga 2026.

Mengapa tumpukan teknologi Anda saat ini tidak bisa melihatnya

Keamanan tradisional mengandaikan adanya batas: tepercaya di dalam, tak tepercaya di luar, kontrol di sambungannya. Model bahasa melarutkan batas itu, karena input sebuah model sekaligus merupakan pemrogramannya. Setiap email, dokumen, halaman web, dan hasil alat yang dibaca seorang agen dapat membawa instruksi yang akan dipatuhinya. Tidak ada mekanisme andal dan umum yang membuat model saat ini memisahkan konten yang harus diproses dari perintah yang harus dipatuhi.

Itulah sebabnya prompt injection menempati posisi No. 1 dalam OWASP Top 10 untuk Aplikasi LLM — dan sebabnya ia tidak akan "ditambal" sebagaimana buffer overflow ditambal. Ini adalah sifat struktural dari medianya. Web application firewall Anda memeriksa permintaan dan melihat panggilan API yang benar-benar sah; serangannya ada di dalam kata-katanya. Pemeriksaan per-permintaan Anda lolos di setiap langkah serangan berantai, karena kerusakannya hidup dalam urutan — volume, pengulangan, dan pengeluaran sepanjang waktu — bukan pada satu panggilan mana pun.

Kesimpulannya tidak nyaman tetapi jelas: keamanan AI bukanlah masalah pelatihan model. Ini masalah arsitektur — dan dapat dipecahkan dengan disiplin yang sama yang sudah diterapkan perusahaan pada setiap sistem produksi lainnya.

14 risiko utama dalam empat kategori: bidang konten, bidang aksi, ekonomi, serta kepercayaan & rantai pasok.

Pertahanan bersifat arsitektural: dua bidang, enam lapis, di gateway

Setiap serangan di atas berhasil melawan otoritas tanpa batas dan gagal melawan otoritas yang dibatasi, diawasi, dan diaudit. Membendungnya menuntut kendali atas dua bidang yang berbeda:

•     Bidang konten — apa yang dibaca dan ditulis model. Ini adalah tugas Guardrails.

•     Bidang aksi — apa yang dilakukan agen: alat yang dipanggilnya, jaringan yang dijangkaunya, uang yang dibelanjakannya. Ini adalah tugas Firewall.

Insiden paling merusak melintasi kedua bidang: sebuah injeksi tiba sebagai konten, lalu dicairkan sebagai aksi. OrcaRouter menempatkan enam lapis independen yang dapat diaudit di antara sebuah permintaan dan sebuah penyesalan:

•     Identitas terbatas — setiap agen memanggil melalui kuncinya sendiri yang membawa model yang diizinkan, daftar IP yang diizinkan, batas pengeluaran yang keras, dan masa berlaku. Permintaan di luar cakupan mati sebelum konten apa pun dibaca.

•     Guardrails input — aturan terhadap injeksi dan jailbreak, deteksi dan penyamaran data pribadi, pemblokiran rahasia, serta hakim LLM semantik yang menangkap apa yang tak bisa ditangkap regex.

•     Firewall aksi — setiap panggilan alat, dispatch MCP, dan egress jaringan dinilai terhadap kebijakan default-deny yang berurutan dengan enam putusan: allow, audit, deny, sanitize, pending-approval, dan cap-cost. Agen yang dibajak tidak dapat menjangkau alat, host, atau dolar yang tidak pernah Anda daftarkan.

•     Guardrails output — balasan disaring saat keluar untuk keluaran tak aman, data pribadi, dan rahasia, dengan pemeriksaan grounding. Inilah lapisan yang menangkap URL eksfiltrasi EchoLeak sebelum ia keluar.

•     Deteksi anomali — baseline perilaku menandai apa yang tak bisa diprediksi aturan statis: panggilan yang sama dihantam dalam jendela waktu sempit, pengeluaran yang melonjak terhadap baseline yang dipelajari, transisi alat-ke-alat yang belum pernah dilakukan ruang kerja.

•     Audit bertanda tangan — setiap kecocokan, putusan, persetujuan, dan perubahan kebijakan tercatat dalam jejak yang tahan-rusak, dikorelasikan per eksekusi agen dan sesi, dapat diekspor sebagai bukti.

Sifat yang menentukan adalah penempatan. Kontrol-kontrol ini hidup di gateway, di jalur permintaan, sehingga terikat pada kredensial alih-alih pada kode aplikasi — dapat ditegakkan di setiap tim dan kerangka kerja, tanpa menulis ulang agen.

Prevalensi yang teramati versus potensi dampak bisnis, dipetakan menurut bidang ancaman.

Kami tidak menilai pekerjaan kami sendiri

Klaim keamanan bernilai persis sebesar bukti di baliknya, jadi OrcaRouter membuka miliknya. Guardrails dan Firewall hadir dengan harness evaluasi yang menilainya terhadap lebih dari 80 korpus red-team sumber terbuka — masing-masing dikutip dan berlisensi:

•     HarmBench (MIT; ICML 2024), JailbreakBench (NeurIPS 2024), dan AdvBench (Zou dkk., 2023) untuk ketangguhan terhadap perilaku berbahaya dan jailbreak;

•     garak dari NVIDIA (Apache-2.0), pemindai kerentanan LLM sumber terbuka, untuk serangan injeksi dan encoding;

•     AgentDojo (NeurIPS 2024) — tolok ukur prompt injection untuk agen yang digunakan lembaga keselamatan AI AS dan Inggris dalam red-teaming bersama — untuk menilai secara khusus Firewall bidang aksi;

•     TruthfulQA dan lainnya untuk grounding dan halusinasi.

OrcaRouter mengintegrasikan perkakas terbuka secara langsung: OSV untuk CVE dependensi dan Semgrep untuk kode yang melintasi sebuah prompt. Tanpa kotak hitam. Tanpa "percaya saja pada kami".

Dibangun untuk audit yang akan datang

Pada 2 Agustus 2026, EU AI Act berlaku sepenuhnya, dan "tunjukkan" menggantikan "katakan" sebagai garis dasar regulasi. Naluri pembuktian yang sama menyebar ke cakupan SOC 2, kuesioner asuransi siber, dan tinjauan pengadaan. OrcaRouter menyertakan 36 paket kerangka kepatuhan — termasuk OWASP LLM Top 10, NIST AI RMF, ISO/IEC 42001, EU AI Act, SOC 2, HIPAA, PCI DSS, dan GDPR — yang mewujudkan kontrol ke dalam ruang kerja Anda dan menghasilkan bukti bertanda tangan. Satu lapisan kontrol yang ditempatkan dengan tepat menghasilkan atestasi untuk semuanya sekaligus.

Yang diluncurkan hari ini — dan mengapa gratis

OrcaRouter Firewall + Guardrails kini gratis untuk setiap pengguna. Kunci API yang sama. Satu sakelar di konsol Anda. Tidak ada kode yang perlu diubah.

OrcaRouter menjadikannya gratis dengan sengaja. Data laporan ini tidak ambigu: larangan tanpa jalur yang dimudahkan justru menghasilkan lebih banyak shadow AI, bukan lebih sedikit — dan shadow AI sudah mendorong satu dari lima pelanggaran dengan premi $670.000 (IBM, 2025). Penawar yang manjur sama-sama bersifat ekonomis dan teknis: jadikan jalur yang terkelola sebagai jalur termudah. Kontrol yang harus Anda bayar lebih, integrasikan secara manual, dan pertanggungjawabkan ke komite anggaran adalah kontrol yang akan dilewati kebanyakan tim.

Jadi tidak ada yang perlu diintegrasikan dan tidak ada yang perlu dibeli. Anda menautkan Guardrails dan kebijakan Firewall ke kunci yang sudah Anda pakai dan mengikuti peluncuran yang bertahan saat berhadapan dengan produksi: amati (jalankan dalam mode audit dan biarkan lalu lintas nyata menulis baseline), shadow (jalankan kebijakan asli dalam mode akan-memblokir hingga positif palsu mendekati nol), lalu tegakkan (aktifkan putusan secara langsung, dengan persetujuan manusia disediakan untuk yang benar-benar tak dapat dibalik). Sebagian besar tim beralih dalam hitungan minggu — dan membiarkan kontrolnya tetap menyala.

Intinya

Lanskap ancaman 2026 bukan alasan untuk memperlambat adopsi AI. Ia adalah manual operasi untuk bertahan menghadapinya. Setiap serangan dalam laporan ini mengalahkan otoritas tanpa batas dan mati melawan otoritas yang dibatasi, diawasi, dan diaudit — dan sifat itu bisa dibangun sekarang, di gateway, dalam hitungan minggu, secara gratis.

Baca laporan lengkapnya: Laporan Ancaman AI 2026    ·    Aktifkan: OrcaRouter

Tentang OrcaRouter

OrcaRouter adalah gateway LLM kompatibel-OpenAI dari Continuum AI Pte. Ltd. (Singapura), yang merutekan lebih dari 200 model dengan penghematan biaya sekitar 40%, overhead perutean di bawah satu milidetik, dan tanpa markup token. Edisi swakelola, OrcaRouter-Lite, tersedia di bawah lisensi MIT.