Edge AI dalam Otomasi Industri ## Apa yang dimaksud dengan Edge AI? Edge AI mengacu pada penerapan kecerdasan buatan langsung pada perangkat atau mesin—bukan di pusat data jarak jauh. Bayangkan sebuah robot pabrik yang dapat mendeteksi kerusakan komponen secara mandiri, tanpa harus mengirimkan data ke server terlebih dahulu. ## Mengapa Edge AI Penting dalam Otomasi Industri? - **Latensi rendah** – Keputusan dibuat dalam hitungan milidetik, sehingga mesin dapat bereaksi secara real-time. - **Keandalan lebih tinggi** – Sistem tetap berfungsi meskipun koneksi internet terputus. - **Privasi data** – Data sensitif dari lantai produksi tidak perlu dikirim ke luar fasilitas. - **Efisiensi biaya** – Mengurangi biaya transfer dan penyimpanan data di cloud. ## Cara Kerja Edge AI 1. **Pengumpulan data** – Sensor pada mesin mengumpulkan data seperti suhu, getaran, dan tekanan. 2. **Pemrosesan lokal** – Model AI yang tertanam pada perangkat menganalisis data tersebut secara langsung. 3. **Pengambilan keputusan** – Sistem mengeluarkan respons otomatis, misalnya menghentikan mesin sebelum terjadi kerusakan. 4. **Pembaruan model** – Model dapat diperbarui secara berkala melalui koneksi jaringan bila tersedia. ## Contoh Penerapan Nyata - **Pemeliharaan prediktif** – Pabrik manufaktur menggunakan Edge AI untuk memprediksi kapan mesin perlu diservis, sehingga mengurangi waktu henti yang tidak terduga. - **Kontrol kualitas** – Kamera bertenaga AI memeriksa produk di jalur produksi dan mendeteksi cacat dalam sekejap. - **Robotika kolaboratif** – Robot yang bekerja berdampingan dengan manusia menggunakan Edge AI untuk mendeteksi kehadiran manusia dan menyesuaikan gerakannya demi keselamatan. ## Tantangan yang Perlu Diketahui - **Keterbatasan daya komputasi** – Perangkat edge memiliki kapasitas pemrosesan yang lebih terbatas dibandingkan server cloud. - **Keamanan siber** – Perangkat yang tersebar di seluruh fasilitas menjadi lebih banyak titik yang perlu dilindungi. - **Integrasi dengan sistem lama** – Menghubungkan Edge AI dengan mesin industri yang sudah tua bisa menjadi tantangan tersendiri. ## Tren yang Sedang Berkembang Edge AI terus berkembang pesat seiring dengan kemajuan chip AI khusus seperti NPU (*Neural Processing Unit*) dan semakin matangnya standar industri seperti IEC 62443 untuk keamanan sistem otomasi. Di masa depan, kolaborasi antara Edge AI dan 5G diperkirakan akan membuka peluang baru dalam otomasi industri yang lebih cerdas dan responsif.Visteon's D6Sigma Diuji di Pabriknya Sendiri Sebelum Siapa Pun Bisa MembelinyaDibangun di atas Qualcomm Dragonwing IQ9 dan CognitoAI-IoT, D6Sigma mengubah umpan kamera pabrik menjadi peristiwa waktu nyata dan mendapatkan kredensial produksinya dengan cara yang sesungguhnya.Visteon D6SigmaEdge AIOtomasi IndustriQualcomm DragonwingFine Print·Jun 19, 2026·5 min readBaca artikel
02Kebijakan kecerdasan buatan Amerika Serikat Kebijakan kecerdasan buatan (AI) Amerika Serikat mencakup berbagai tindakan legislatif, eksekutif, dan regulasi yang bertujuan untuk membentuk cara pengembangan, penerapan, dan tata kelola AI di Amerika Serikat. Kebijakan ini melibatkan berbagai aktor, termasuk lembaga federal, kongres, pemerintah negara bagian, serta sektor swasta. ## Latar Belakang Kecerdasan buatan telah berkembang pesat selama beberapa dekade terakhir, mengubah berbagai sektor mulai dari layanan kesehatan hingga pertahanan nasional. Seiring meningkatnya kemampuan AI, pemerintah Amerika Serikat menghadapi tekanan yang semakin besar untuk menetapkan kebijakan yang memastikan teknologi ini dikembangkan secara bertanggung jawab, aman, dan selaras dengan nilai-nilai demokratis. Kebijakan AI di Amerika Serikat mencerminkan tegangan antara dua tujuan utama: mendorong inovasi dan pertumbuhan ekonomi di satu sisi, serta mengelola risiko dan melindungi hak-hak warga negara di sisi lain. Pemerintah federal juga mempertimbangkan persaingan geopolitik, terutama dengan Tiongkok, dalam merumuskan strategi AI nasional. ## Tindakan Eksekutif Awal Ketertarikan pemerintah federal terhadap AI modern dapat ditelusuri kembali ke masa pemerintahan Obama. Pada tahun 2016, Kantor Kebijakan Sains dan Teknologi Gedung Putih menerbitkan beberapa laporan penting mengenai AI, termasuk "Mempersiapkan Masa Depan Kecerdasan Buatan" dan "Strategi Penelitian dan Pengembangan AI Nasional." Laporan-laporan ini meletakkan dasar bagi keterlibatan pemerintah federal yang lebih serius terhadap isu-isu AI. ## Perintah Eksekutif tentang Mempertahankan Kepemimpinan AI Amerika (2019) Pada Februari 2019, Presiden Donald Trump menandatangani Perintah Eksekutif 13859, yang berjudul "Mempertahankan Kepemimpinan AI Amerika." Perintah ini meluncurkan Inisiatif AI Amerika, sebuah strategi seluruh pemerintah yang bertujuan untuk: - Mendorong investasi federal dalam penelitian dan pengembangan AI - Meningkatkan akses ke sumber daya komputasi dan data federal - Mengembangkan standar dan tolok ukur teknis untuk AI - Membangun kepercayaan publik terhadap sistem AI - Melatih tenaga kerja Amerika untuk ekonomi yang digerakkan AI - Melindungi keunggulan teknologi AI Amerika dari pesaing strategis Perintah ini menandai komitmen eksplisit pertama pemerintah federal terhadap kepemimpinan AI sebagai prioritas kebijakan nasional. ## Undang-Undang Inisiatif AI Nasional (2020) Undang-Undang Inisiatif AI Nasional disahkan sebagai bagian dari Undang-Undang Otorisasi Pertahanan Nasional untuk Tahun Fiskal 2021. Undang-undang ini: - Mengkodifikasikan Inisiatif AI Amerika ke dalam hukum - Mendirikan Kantor Inisiatif AI Nasional di Gedung Putih - Membentuk Komite Pengarah Inisiatif AI Nasional - Mengamanatkan pengembangan rencana strategis untuk penelitian dan pengembangan AI - Menetapkan program pendidikan dan pelatihan tenaga kerja AI Undang-undang ini memberikan kerangka hukum yang lebih kuat bagi upaya koordinasi AI federal dibandingkan tindakan eksekutif semata. ## Tindakan Pemerintahan Biden Pemerintahan Biden mengambil pendekatan yang lebih berorientasi pada tata kelola terhadap kebijakan AI, menekankan keamanan, kesetaraan, dan akuntabilitas. ### Cetak Biru untuk Tagihan Hak AI (2022) Pada Oktober 2022, Kantor Kebijakan Sains dan Teknologi Gedung Putih menerbitkan "Cetak Biru untuk Tagihan Hak AI." Dokumen non-mengikat ini menguraikan lima prinsip yang dimaksudkan untuk memandu desain, penggunaan, dan penerapan sistem AI: 1. **Sistem yang Aman dan Efektif** — Sistem AI harus aman dan berfungsi sebagaimana dimaksudkan 2. **Perlindungan dari Algoritma yang Diskriminatif** — Orang tidak boleh menghadapi diskriminasi dari sistem otomatis 3. **Perlindungan Privasi Data** — Orang harus dilindungi dari pengumpulan dan penggunaan data yang melanggar batas 4. **Pemberitahuan dan Penjelasan** — Orang harus diberitahu ketika sistem otomatis digunakan dan bagaimana keputusan dibuat 5. **Alternatif Manusia dan Pemulihan** — Orang harus dapat memilih keluar dari sistem otomatis dan mendapatkan bantuan manusia ### Perintah Eksekutif tentang AI yang Aman, Terjamin, dan Tepercaya (2023) Pada Oktober 2023, Presiden Biden menandatangani Perintah Eksekutif yang komprehensif mengenai AI. Ini merupakan tindakan kebijakan AI federal paling luas hingga saat itu dan mencakup: - **Standar keamanan dan keselamatan** — Mengharuskan pengembang sistem AI yang paling kuat untuk berbagi hasil uji keamanan dengan pemerintah AS - **Perlindungan privasi** — Mengarahkan lembaga untuk mengevaluasi cara melindungi privasi warga Amerika - **Kesetaraan dan hak sipil** — Mengatasi diskriminasi algoritmik di berbagai sektor - **Perlindungan konsumen** — Memandu pengembangan AI di layanan kesehatan, keuangan, dan sektor lainnya - **Persaingan dan inovasi** — Mendukung persaingan di pasar AI - **Kepemimpinan internasional** — Memajukan pendekatan Amerika terhadap AI di forum internasional - **Penggunaan AI pemerintah** — Menetapkan pedoman untuk penggunaan AI oleh lembaga federal Perintah ini menggunakan Undang-Undang Produksi Pertahanan untuk mewajibkan perusahaan yang mengembangkan model AI besar untuk memberi tahu pemerintah federal dan berbagi hasil uji keamanan. ## Tindakan Pemerintahan Trump Kedua Tak lama setelah menjabat pada Januari 2025, Presiden Trump mencabut Perintah Eksekutif tentang AI milik Biden. Pemerintahannya kemudian merilis Rencana Aksi AI yang memprioritaskan: - Menghapus hambatan regulasi terhadap pengembangan AI - Mempromosikan dominasi AI Amerika secara global - Mengurangi pengawasan pemerintah terhadap perusahaan AI - Berfokus pada daya saing terhadap Tiongkok ## Aktivitas Legislatif Kongres Kongres telah mempertimbangkan berbagai tagihan AI, meskipun undang-undang komprehensif tetap sulit dicapai. Area-area yang telah mendapatkan perhatian legislatif meliputi: - **Keamanan nasional** — Penggunaan AI oleh militer dan badan intelijen - **Deepfake dan disinformasi** — Tagihan yang menargetkan konten sintetis yang menipu - **Privasi** — Proposal untuk melindungi data yang digunakan dalam sistem AI - **Transparansi** — Persyaratan untuk mengungkapkan penggunaan AI dalam konteks tertentu - **Akuntabilitas** — Mekanisme untuk menangani kerugian yang disebabkan oleh sistem AI Komite Senat tentang AI yang didirikan pada 2023 mengadakan serangkaian dengar pendapat, termasuk kesaksian dari pemimpin industri seperti Sam Altman dari OpenAI, yang menyerukan regulasi federal. ## Pendekatan Regulasi Lembaga Federal Berbagai lembaga federal telah mulai menerapkan otoritas yang ada untuk mengatur AI di sektor-sektor tertentu: - **Komisi Perdagangan Federal (FTC)** — Menyelidiki praktik AI yang tidak adil atau menipu dan masalah persaingan - **Biro Perlindungan Keuangan Konsumen (CFPB)** — Mengatasi AI dalam pemberian kredit dan layanan keuangan - **Komisi Kesempatan Kerja yang Setara (EEOC)** — Menerbitkan panduan tentang AI dalam konteks ketenagakerjaan - **Administrasi Makanan dan Obat-obatan (FDA)** — Mengatur perangkat medis bertenaga AI - **Departemen Perumahan dan Pembangunan Perkotaan (HUD)** — Mengatasi diskriminasi algoritmik dalam perumahan ## Kebijakan AI Negara Bagian Negara bagian telah memainkan peran aktif dalam regulasi AI, seringkali bergerak lebih cepat daripada pemerintah federal: - **California** — Telah mempertimbangkan dan dalam beberapa kasus mengesahkan berbagai tagihan AI, termasuk langkah-langkah transparansi dan persyaratan keselamatan untuk model AI yang besar - **Illinois** — Mengesahkan undang-undang yang mengatur penggunaan AI dalam wawancara kerja - **Texas** — Mengesahkan Undang-Undang Kecerdasan Buatan Texas yang berfokus pada sistem AI berisiko tinggi - **Colorado** — Mengesahkan undang-undang yang mengatur sistem AI berisiko tinggi Proliferasi undang-undang AI di tingkat negara bagian telah memunculkan perdebatan tentang apakah standar federal yang seragam diperlukan untuk mencegah kerangka regulasi yang terfragmentasi. ## Kebijakan AI Militer dan Pertahanan Departemen Pertahanan telah mengembangkan kerangka kebijakan AI sendiri. Pada 2020, Departemen Pertahanan mengadopsi serangkaian Prinsip Etika AI yang menekankan: - Keandalan - Akuntabilitas - Kemampuan dijelaskan - Keterlacakan - Kendalikan Departemen Pertahanan juga mendirikan Pusat Kecerdasan Buatan Bersama (JAIC), yang kemudian menjadi bagian dari Kantor Kecerdasan Buatan dan Data yang lebih besar. Perdebatan kebijakan yang signifikan telah muncul seputar senjata otonom dan pertanyaan tentang tingkat kendali manusia yang diperlukan dalam sistem senjata bertenaga AI. ## Konteks Internasional dan Persaingan dengan Tiongkok Kebijakan AI Amerika Serikat sebagian besar dibentuk oleh persaingan teknologi dengan Tiongkok. Pemerintah AS telah mengambil beberapa langkah untuk membatasi ekspor teknologi AI canggih ke Tiongkok, termasuk: - **Kontrol ekspor chip** — Membatasi ekspor semikonduktor canggih dan peralatan pembuatan chip - **Daftar entitas** — Menempatkan perusahaan AI Tiongkok tertentu pada daftar yang membatasi akses mereka ke teknologi Amerika - **Pembatasan investasi** — Membatasi investasi Amerika di perusahaan AI Tiongkok tertentu Amerika Serikat juga terlibat dalam upaya multilateral untuk membentuk tata kelola AI internasional melalui forum seperti G7, OECD, dan PBB. ## Standar dan Kerangka Kerja Teknis Institut Standar dan Teknologi Nasional (NIST) telah memainkan peran sentral dalam mengembangkan panduan teknis untuk AI: - Pada 2023, NIST menerbitkan Kerangka Manajemen Risiko AI, yang menyediakan pendekatan sukarela bagi organisasi untuk mengelola risiko yang terkait dengan AI - NIST juga memimpin upaya untuk mengembangkan standar untuk mendeteksi konten yang dihasilkan AI dan menangani masalah keamanan AI ## Isu dan Perdebatan yang Sedang Berlangsung Beberapa perdebatan kebijakan utama terus berlangsung di sekitar AI di Amerika Serikat: - **Regulasi versus inovasi** — Perdebatan tentang apakah regulasi yang lebih ketat akan menghambat kepemimpinan teknologi Amerika - **Regulasi federal versus negara bagian** — Pertanyaan tentang otoritas regulasi yang tepat - **Risiko AI saat ini versus masa depan** — Perdebatan tentang apakah kebijakan harus berfokus pada bahaya AI yang ada hari ini atau risiko yang lebih spekulatif dari AI yang sangat canggih - **Transparansi dan kekayaan intelektual** — Tegangan antara permintaan transparansi dan perlindungan rahasia dagang - **Tenaga kerja dan perpindahan** — Perdebatan tentang bagaimana mengelola dampak AI terhadap lapangan kerjaDeregulasi yang Justru Mengatur: Bagaimana Intervensi AI Kasus per Kasus dari Pemerintahan Trump Menciptakan Ketidaktransparanan yang Justru Mereka Janjikan untuk DihindariTata Kelola AIPemerintahan TrumpRegulasi AIDeregulasiFine Print·Jun 19, 2026·5 min readBaca artikel
03Undang-Undang Data (Penggunaan dan Akses) 2025The DUAA Deadline That Catches Builders Off Guard: It Is Not About Your Data Practice, It Is About Your ProcessUndang-Undang Data (Penggunaan dan Akses) 2025Perlindungan Data InggrisKepatuhan ICODUAAFine Print·Jun 17, 2026·5 min readBaca artikel
04Keamanan Rantai Pasokan Perangkat Lunak Software—the programs and apps you rely on every day—doesn't appear out of thin air. It's built from hundreds (sometimes thousands) of smaller pieces: open-source libraries, third-party services, build tools, and cloud infrastructure. Together, these pieces form a **software supply chain**. Just like a supermarket's food supply chain can be contaminated at any link—farm, factory, truck, or shelf—a software supply chain can be attacked at any step before the finished product reaches you. Perangkat lunak—program dan aplikasi yang kamu andalkan setiap hari—tidak muncul begitu saja. Perangkat lunak dibangun dari ratusan (terkadang ribuan) komponen kecil: pustaka sumber terbuka, layanan pihak ketiga, alat bantu pembangunan, dan infrastruktur cloud. Secara keseluruhan, komponen-komponen ini membentuk sebuah **rantai pasokan perangkat lunak**. Sama seperti rantai pasokan makanan di supermarket yang bisa terkontaminasi di titik mana pun—pertanian, pabrik, truk, atau rak—rantai pasokan perangkat lunak dapat diserang di setiap tahap sebelum produk jadi sampai ke tanganmu. ## Why the Supply Chain Is a Target ## Mengapa Rantai Pasokan Menjadi Sasaran Attackers follow the path of least resistance. Directly hacking a well-defended company is hard. Slipping malicious code into a small, trusted library that the company's developers use—and that gets pulled in automatically—is often much easier. One successful upstream compromise can silently infect thousands of downstream applications at once. Penyerang selalu mencari jalur dengan hambatan paling sedikit. Meretas langsung sebuah perusahaan yang pertahanannya kuat itu sulit. Namun, menyusupkan kode berbahaya ke dalam pustaka kecil yang tepercaya—yang digunakan oleh para pengembang perusahaan tersebut dan ditarik secara otomatis—seringkali jauh lebih mudah. Satu serangan yang berhasil di bagian hulu dapat diam-diam menginfeksi ribuan aplikasi di bagian hilir sekaligus. ## Key Concepts ## Konsep Kunci - **Dependency**: a library or package your code relies on. Most projects have dozens of direct dependencies, each of which may have their own dependencies (called *transitive dependencies*), forming a deep tree. - **Build pipeline**: the automated system that turns source code into a deployable program (compile → test → package → deploy). - **Artifact**: a compiled file, container image, or package that is the output of a build. - **Provenance**: a verifiable record of *where* an artifact came from and *how* it was built—think of it as a birth certificate for software. - **SBOM (Software Bill of Materials)**: a structured inventory listing every component, version, and license in a piece of software. - **Ketergantungan (Dependency)**: pustaka atau paket yang diandalkan oleh kode kamu. Sebagian besar proyek memiliki lusinan ketergantungan langsung, yang masing-masing mungkin memiliki ketergantungannya sendiri (disebut *ketergantungan transitif*), sehingga membentuk sebuah pohon yang dalam. - **Pipeline pembangunan (Build pipeline)**: sistem otomatis yang mengubah kode sumber menjadi program yang siap digunakan (kompilasi → uji → kemas → terapkan). - **Artefak (Artifact)**: berkas yang telah dikompilasi, image kontainer, atau paket yang merupakan hasil dari sebuah proses pembangunan. - **Asal-usul (Provenance)**: catatan yang dapat diverifikasi tentang *dari mana* sebuah artefak berasal dan *bagaimana* artefak tersebut dibangun—bayangkan seperti akta kelahiran untuk perangkat lunak. - **SBOM (Daftar Bahan Perangkat Lunak / Software Bill of Materials)**: inventaris terstruktur yang mencantumkan setiap komponen, versi, dan lisensi dalam suatu perangkat lunak. ## How Attacks Happen ## Bagaimana Serangan Terjadi ```figure: @title Anatomy of a Supply-Chain Attack @caption An attacker injects malicious code into an upstream dependency. Every application that later installs that dependency unknowingly runs the malicious code. ┌─────────────────────────────────────────────────────────────┐ │ │ │ [Attacker] │ │ │ injects malicious code │ │ ▼ │ │ [Open-source library v2.3.1] ← trusted, widely used │ │ │ downloaded automatically │ │ ▼ │ │ [Your application's build] │ │ │ ships to users │ │ ▼ │ │ [End users' devices] ← now running malicious code │ │ │ └─────────────────────────────────────────────────────────────┘ @source Illustrative diagram; not based on a specific incident ``` Common attack vectors include: Vektor serangan yang umum antara lain: 1. **Dependency confusion**: publishing a malicious package with the same name as a company's internal package to a public registry, tricking build tools into fetching the wrong one. 2. **Typosquatting**: registering packages with names one character off from popular ones (e.g., `requ3sts` instead of `requests`), hoping developers mistype. 3. **Compromised maintainer account**: stealing the credentials of a legitimate library author and pushing a backdoored update. 4. **Malicious CI/CD plugin**: inserting a rogue build-tool plugin that exfiltrates secrets or tampers with binaries during the build. 5. **Repository tampering**: altering source code directly in a version-control system after a legitimate commit. 1. **Kebingungan ketergantungan (Dependency confusion)**: menerbitkan paket berbahaya dengan nama yang sama seperti paket internal perusahaan ke registri publik, sehingga mengelabui alat pembangunan agar mengambil paket yang salah. 2. **Typosquatting**: mendaftarkan paket dengan nama yang hanya berbeda satu karakter dari paket populer (misalnya, `requ3sts` alih-alih `requests`), dengan harapan para pengembang salah ketik. 3. **Akun pengelola yang disusupi**: mencuri kredensial penulis pustaka yang sah lalu mendorong pembaruan yang mengandung backdoor. 4. **Plugin CI/CD berbahaya**: menyisipkan plugin alat pembangunan palsu yang mengekstrak rahasia atau memanipulasi biner selama proses pembangunan. 5. **Perusakan repositori (Repository tampering)**: mengubah kode sumber secara langsung dalam sistem kontrol versi setelah commit yang sah. ## Real-World Examples ## Contoh Nyata - **SolarWinds (2020)**: Attackers compromised the build system of SolarWinds' Orion software. A trojanised update was signed with the company's legitimate certificate and pushed to ~18,000 organisations, including US government agencies. - **XZ Utils backdoor (2024)**: A patient, multi-year social-engineering campaign gave an attacker commit access to the widely used XZ compression library. A backdoor was nearly shipped in several Linux distributions before being caught. - **event-stream (2018)**: A malicious contributor gained publish rights to a popular npm package and added a dependency containing code that targeted a specific cryptocurrency wallet. - **SolarWinds (2020)**: Penyerang berhasil mengkompromikan sistem pembangunan perangkat lunak Orion milik SolarWinds. Sebuah pembaruan yang telah ditrojankan ditandatangani dengan sertifikat resmi perusahaan dan disebarkan ke sekitar 18.000 organisasi, termasuk lembaga pemerintah Amerika Serikat. - **Backdoor XZ Utils (2024)**: Sebuah kampanye rekayasa sosial yang sabar dan berlangsung selama beberapa tahun berhasil memberikan akses commit kepada seorang penyerang ke pustaka kompresi XZ yang digunakan secara luas. Sebuah backdoor hampir saja disertakan dalam beberapa distribusi Linux sebelum akhirnya terdeteksi. - **event-stream (2018)**: Seorang kontributor berbahaya berhasil mendapatkan hak penerbitan pada sebuah paket npm yang populer dan menambahkan ketergantungan yang berisi kode yang menargetkan dompet mata uang kripto tertentu. ## Defences and Best Practices ## Pertahanan dan Praktik Terbaik ### For developers and teams ### Untuk pengembang dan tim - **Pin dependency versions** (or use lock files) so builds are reproducible and an updated upstream can't silently change what you run. - **Audit dependencies regularly** using tools like `npm audit`, `pip-audit`, or Dependabot to catch known vulnerabilities. - **Verify package signatures** where available. Many ecosystems (Maven, PyPI, npm) increasingly support cryptographic signing. - **Use private registries with allowlists** to prevent dependency-confusion attacks. - **Least-privilege CI/CD**: build pipelines should only have the permissions they strictly need; a compromised pipeline shouldn't be able to push to production. - **Generate and publish SBOMs** so downstream users know exactly what they're running. - **Tetapkan versi ketergantungan** (atau gunakan lock file) agar pembangunan dapat direproduksi dan pembaruan dari hulu tidak dapat mengubah apa yang kamu jalankan secara diam-diam. - **Audit ketergantungan secara rutin** menggunakan alat seperti `npm audit`, `pip-audit`, atau Dependabot untuk mendeteksi kerentanan yang sudah diketahui. - **Verifikasi tanda tangan paket** jika tersedia. Banyak ekosistem (Maven, PyPI, npm) semakin banyak mendukung penandatanganan kriptografis. - **Gunakan registri privat dengan daftar yang diizinkan (allowlist)** untuk mencegah serangan kebingungan ketergantungan. - **CI/CD dengan hak akses minimum**: pipeline pembangunan hanya boleh memiliki izin yang benar-benar diperlukan; pipeline yang disusupi tidak seharusnya dapat mendorong perubahan ke lingkungan produksi. - **Buat dan terbitkan SBOM** agar pengguna di bagian hilir mengetahui secara persis apa yang mereka jalankan. ### For organisations and policy ### Untuk organisasi dan kebijakan - Adopt frameworks such as **SLSA (Supply-chain Levels for Software Artifacts)**—a set of incrementally achievable security requirements—to verify that artifacts were built as claimed. - Follow the **NIST Secure Software Development Framework (SSDF)** for systematic guidance. - Require vendors to provide SBOMs (increasingly mandated by governments after the SolarWinds incident). - Terapkan kerangka kerja seperti **SLSA (Supply-chain Levels for Software Artifacts)**—serangkaian persyaratan keamanan yang dapat dicapai secara bertahap—untuk memverifikasi bahwa artefak dibangun sesuai dengan yang diklaim. - Ikuti **NIST Secure Software Development Framework (SSDF)** untuk panduan yang sistematis. - Wajibkan vendor untuk menyediakan SBOM (semakin banyak diwajibkan oleh pemerintah setelah insiden SolarWinds). ## The Concept of Trust ## Konsep Kepercayaan At the heart of supply-chain security is the question: *who or what do you trust, and why?* Implicit trust—"I'll use this library because it's popular"—is increasingly insufficient. Modern best practice moves toward **zero-trust supply chains**: every artifact must prove its own integrity through cryptographic attestations, reproducible builds, and transparent audit logs, rather than relying on reputation alone. Inti dari keamanan rantai pasokan adalah pertanyaan: *siapa atau apa yang kamu percayai, dan mengapa?* Kepercayaan implisit—"Saya akan menggunakan pustaka ini karena populer"—semakin tidak memadai. Praktik terbaik modern bergerak menuju **rantai pasokan zero-trust**: setiap artefak harus membuktikan integritasnya sendiri melalui attestasi kriptografis, pembangunan yang dapat direproduksi, dan log audit yang transparan, alih-alih hanya mengandalkan reputasi semata. ## Summary ## Ringkasan | Concept | One-line reminder | |---|---| | Dependency | Code you import but didn't write | | Transitive dependency | A dependency's dependency | | SBOM | Ingredient list for software | | Provenance | Verifiable birth certificate for an artifact | | SLSA | Ladder of supply-chain security maturity | | Typosquatting | Malicious lookalike package names | | Dependency confusion | Public package beats internal one if registry order is wrong | | Konsep | Pengingat singkat | |---|---| | Ketergantungan (Dependency) | Kode yang kamu impor tetapi tidak kamu tulis | | Ketergantungan transitif | Ketergantungan dari sebuah ketergantungan | | SBOM | Daftar bahan untuk perangkat lunak | | Asal-usul (Provenance) | Akta kelahiran yang dapat diverifikasi untuk sebuah artefak | | SLSA | Tangga kematangan keamanan rantai pasokan | | Typosquatting | Nama paket tiruan yang berbahaya | | Kebingungan ketergantungan | Paket publik mengalahkan paket internal jika urutan registri salah |Plugin Marketplace IDE Anda Kini Menjadi Risiko Kredensial AI: Apa yang Diajarkan Kampanye JetBrains kepada Para PengembangJetBrains MarketplaceKeamanan Kunci API AIAikido SecurityRisiko Rantai PasokanFine Print·Jun 17, 2026·5 min readBaca artikel
05Paket Kedaulatan Teknologi EropaUni Eropa Berencana Melipattigakan Kapasitas Pusat Data. Itu Menambah Kerumitan bagi Pembeli Sebelum Satu Server pun Dikirim.Paket Kedaulatan Teknologi UEUndang-Undang Pengembangan Cloud dan AIKomisi EropaPengadaan Sektor PublikFine Print·Jun 15, 2026·5 min readBaca artikel
06Kontrol ekspor pada kecerdasan buatan ## Apa itu kontrol ekspor AI? Kontrol ekspor pada kecerdasan buatan (AI) adalah aturan pemerintah yang membatasi siapa yang boleh menerima teknologi AI tertentu, perangkat keras, atau pengetahuan terkait dari suatu negara. Anggaplah kontrol ini seperti sistem izin khusus — sebelum sebuah perusahaan atau peneliti dapat mengirim produk AI canggih ke negara lain, mereka mungkin perlu mendapatkan persetujuan pemerintah terlebih dahulu, atau pengiriman tersebut mungkin dilarang sepenuhnya. Kontrol ini paling sering diterapkan pada: - **Chip semikonduktor canggih** yang digunakan untuk melatih dan menjalankan model AI - **Perangkat lunak dan algoritma AI** dengan kemampuan militer atau keamanan - **Data pelatihan dan model** yang dianggap sensitif secara strategis - **Pengetahuan teknis** yang dibagikan melalui publikasi, konferensi, atau rekrutmen ## Mengapa pemerintah menerapkan kontrol ekspor AI? Pemerintah menggunakan kontrol ekspor AI karena beberapa alasan yang saling terkait: **Keamanan nasional** adalah pendorong utama. Sistem AI canggih dapat meningkatkan persenjataan militer, sistem pengawasan, serangan siber, dan pengambilan keputusan intelijen. Suatu negara mungkin tidak ingin saingan atau musuhnya mendapatkan akses ke teknologi yang dapat memberikan keunggulan militer. **Keunggulan ekonomi** juga berperan penting. AI semakin dipandang sebagai teknologi yang menentukan pertumbuhan ekonomi di masa depan. Dengan membatasi ekspor, suatu negara berharap dapat mempertahankan keunggulan teknologinya. **Hak asasi manusia** menjadi perhatian yang semakin berkembang. Beberapa teknologi AI — terutama pengenalan wajah dan alat pengawasan — telah digunakan oleh pemerintah otoriter untuk melacak dan menekan warga negara mereka sendiri. ## Bagaimana cara kerja kontrol ekspor AI dalam praktiknya? Sistem kontrol ekspor yang paling berpengaruh saat ini dijalankan oleh Amerika Serikat melalui beberapa mekanisme utama: **Daftar Entitas** yang dikelola oleh Departemen Perdagangan AS mencantumkan perusahaan dan organisasi tertentu — terutama perusahaan Tiongkok — yang tidak boleh menerima teknologi AS tanpa lisensi khusus. Perusahaan seperti Huawei dan banyak produsen chip Tiongkok telah masuk daftar ini. **Kontrol chip semikonduktor** yang diumumkan pada tahun 2022 dan diperluas pada tahun 2023 membatasi ekspor chip AI paling canggih (seperti yang diproduksi oleh Nvidia) ke Tiongkok dan beberapa negara lainnya. Peraturan ini juga membatasi ekspor peralatan yang digunakan untuk *membuat* chip canggih tersebut. **Aturan produk asing langsung** memperluas kontrol AS bahkan ke produk yang dibuat di luar Amerika Serikat, jika produk tersebut menggunakan perangkat lunak atau peralatan Amerika dalam proses pembuatannya. ```figure: ┌─────────────────────────────────────────────────────────────────┐ │ CARA KERJA KONTROL EKSPOR AI │ │ │ │ PENGEMBANG PEMERINTAH PENERIMA │ │ TEKNOLOGI ASAL │ │ │ │ ┌──────────┐ ┌──────────┐ ┌──────────┐ │ │ │Perusahaan│──────▶ │ Tinjauan │──────▶ │ Disetujui│ │ │ │ Chip / │ │ Lisensi │ │ (dengan │ │ │ │Perangkat │ │ │ │ syarat) │ │ │ │ Lunak │ │ │ └──────────┘ │ │ └──────────┘ │ │ │ │ │ │ ┌──────────┐ │ │ │ │──────▶ │ Ditolak │ │ │ └──────────┘ │(diblokir)│ │ │ └──────────┘ │ │ │ │ Faktor yang dipertimbangkan: │ │ • Negara tujuan │ │ • Penggunaan akhir (sipil vs militer) │ │ • Pengguna akhir (perusahaan swasta vs entitas pemerintah) │ │ • Spesifikasi teknis produk │ └─────────────────────────────────────────────────────────────────┘ @title: Cara kerja proses tinjauan kontrol ekspor @caption: Ketika teknologi AI ingin diekspor, pemerintah mengevaluasi ke mana teknologi itu pergi, untuk apa digunakan, dan siapa yang akan menggunakannya sebelum memutuskan apakah akan memberikan izin. @source: Diagram ilustratif berdasarkan kerangka kerja Biro Industri dan Keamanan AS ``` ## Perdebatan utama seputar kontrol ekspor AI Kontrol ekspor AI bukan tanpa kontroversi. Terdapat perdebatan yang sungguh-sungguh di antara para ahli, pelaku industri, dan pembuat kebijakan. **Argumen yang mendukung kontrol yang lebih ketat:** - Teknologi AI dapat dengan cepat diubah menjadi penggunaan militer bahkan jika awalnya dikembangkan untuk tujuan sipil - Memperlambat kemajuan AI para pesaing dapat memberikan keunggulan strategis yang bertahan selama bertahun-tahun - Kontrol pengawasan telah terbukti digunakan untuk melanggar hak asasi manusia **Argumen yang mendukung kontrol yang lebih longgar atau lebih terarah:** - Kontrol yang terlalu luas dapat merugikan perusahaan AS dengan mendorong pelanggan beralih ke pemasok alternatif - Banyak kemajuan AI terjadi melalui penelitian akademis terbuka yang sulit dibatasi tanpa menghambat ilmu pengetahuan secara keseluruhan - Negara-negara yang menjadi sasaran dapat mengembangkan kemampuan mereka sendiri, sehingga kontrol hanya memperlambat — bukan mencegah — proliferasi - Definisi apa yang "canggih" terus berubah seiring perkembangan teknologi yang pesat ## Ketegangan teknologi AS–Tiongkok Meskipun kontrol ekspor AI berlaku di berbagai konteks, saat ini kontrol tersebut paling terlihat dalam persaingan teknologi antara Amerika Serikat dan Tiongkok. Amerika Serikat telah mengambil posisi bahwa Tiongkok berupaya menggunakan teknologi AI canggih untuk tujuan militer dan mengonsolidasikan kekuasaan otoriternya. Tiongkok sebaliknya berpendapat bahwa pembatasan tersebut merupakan proteksionisme ekonomi yang disamarkan sebagai kepedulian terhadap keamanan. Beberapa perkembangan penting dalam ketegangan ini antara lain: 1. **2018–2019:** AS mulai menerapkan pembatasan pada Huawei dan ZTE terkait kekhawatiran keamanan jaringan 5G 2. **2022:** Kontrol ekspor chip komprehensif yang menargetkan kemampuan AI Tiongkok 3. **2023:** Perluasan kontrol untuk menutup celah dan mencakup lebih banyak negara 4. **2024–seterusnya:** Diskusi yang berkelanjutan mengenai kontrol model AI dan pembatasan investasi Penting untuk dicatat bahwa Tiongkok juga telah mengembangkan kemampuan chip domestiknya sendiri, sebagian sebagai respons terhadap kontrol ini — menunjukkan bahwa efektivitas kontrol ekspor jangka panjang masih menjadi pertanyaan terbuka. ## Tantangan dalam menerapkan kontrol ekspor AI Berbeda dengan kontrol ekspor persenjataan konvensional (di mana Anda bisa secara fisik memeriksa apakah sebuah misil telah dikirim), teknologi AI menimbulkan tantangan penerapan yang unik: **Masalah transmisi digital:** Perangkat lunak dan model AI dapat ditransfer secara instan melalui internet, sehingga sulit untuk mencegat atau memantaunya. **Pengetahuan yang melekat pada manusia:** Ketika ilmuwan dan insinyur pindah antar negara, mereka membawa keahlian yang tidak dapat dikontrol dengan cara yang sama seperti produk fisik. **Penggunaan ganda:** Sebagian besar teknologi AI dapat digunakan untuk tujuan sipil maupun militer, sehingga sulit untuk menetapkan batas yang jelas. **Keusangan aturan:** Bidang AI berkembang begitu cepat sehingga peraturan yang ditulis hari ini mungkin sudah tidak relevan dengan lanskap teknologi dalam dua atau tiga tahun ke depan. **Fragmentasi global:** Kontrol ekspor yang efektif memerlukan koordinasi di antara banyak negara — jika satu negara yang signifikan tidak berpartisipasi, negara-negara yang ditargetkan dapat mengalihkan perhatian mereka ke pemasok tersebut. ## Siapa saja yang terlibat dalam pembuatan kebijakan kontrol ekspor AI? Di Amerika Serikat, beberapa lembaga memiliki peran dalam kebijakan kontrol ekspor AI: - **Departemen Perdagangan** (khususnya Biro Industri dan Keamanan) mengelola sebagian besar kontrol ekspor teknologi - **Departemen Pertahanan** memberikan masukan mengenai implikasi militer dari teknologi tertentu - **Departemen Luar Negeri** menangani kontrol ekspor yang berkaitan dengan kepentingan kebijakan luar negeri - **Intelijen Nasional** menginformasikan penilaian ancaman yang mendasari keputusan kontrol Di tingkat internasional, pengaturan seperti **Pengaturan Wassenaar** mencoba mengkoordinasikan kontrol ekspor teknologi konvensional dan barang-barang penggunaan ganda di antara negara-negara anggota, meskipun koordinasi untuk teknologi AI secara khusus masih tertinggal jauh di belakang perkembangan teknologi itu sendiri. ## Perkembangan terkini dan ke mana arahnya Kebijakan kontrol ekspor AI berkembang dengan cepat. Beberapa tren yang perlu diperhatikan: **Kontrol berbasis model** sedang didiskusikan — alih-alih hanya mengendalikan chip, beberapa pembuat kebijakan ingin membatasi ekspor model AI yang sudah terlatih itu sendiri jika model tersebut melampaui ambang kemampuan tertentu. **Persyaratan komputasi** sedang dijelajahi sebagai cara untuk mendefinisikan AI "canggih" — jika suatu model membutuhkan lebih dari sejumlah komputasi tertentu untuk dilatih, model tersebut mungkin akan tunduk pada kontrol. **Koordinasi sekutu** semakin meningkat, dengan AS bekerja sama dengan Eropa, Jepang, Korea Selatan, dan Belanda (yang mengontrol peralatan chip penting yang dibuat oleh ASML) untuk menyelaraskan kebijakan. **Kekhawatiran AI open-source** menambahkan lapisan kompleksitas — model-model yang kodenya tersedia secara publik jauh lebih sulit untuk dikontrol dibandingkan produk komersial berpemilik. Bidang ini kemungkinan akan terus berkembang seiring meningkatnya kemampuan AI dan ketegangan geopolitik yang membentuk kembali lanskap teknologi global.Anthropic Meluncurkan Fable 5 dan Mythos 5. Tiga Hari Kemudian, Pemerintah AS Menariknya Kembali.AnthropicKontrol Ekspor AIClaude Fable 5Departemen Perdagangan ASFine Print·Jun 15, 2026·5 min readBaca artikel
07EU Artificial Intelligence Act2 Agustus 2026: Tenggat Waktu AI Berisiko Tinggi dalam EU AI Act yang Tidak Bisa Diabaikan oleh PerusahaanEU AI ActAI GovernanceHigh-Risk AI SystemsEnterprise ComplianceFine Print·Jun 12, 2026·5 min readBaca artikel
08Regulation of artificial intelligenceAnthropic Baru Saja Meminta untuk Diregulasi. Inilah Artinya Sebenarnya.Dario AmodeiAnthropicAI RegulationFrontier AIFine Print·Jun 12, 2026·5 min readBaca artikel
09Illinois Artificial Intelligence Safety Measures ActIllinois SB 315 Akan Menjadikan Audit AI Pihak Ketiga Tahunan sebagai Persyaratan Hukum. Inilah Artinya Secara Nyata.Illinois SB 315AI RegulationFrontier AI ModelsAI Safety AuditsFine Print·Jun 12, 2026·4 min readBaca artikel
10Binding Operational DirectiveTiga Hari untuk Menambal: BOD 26-04 CISA Mempersingkat Batas Waktu Kerentanan Federal Sekaligus Secara Resmi Mengizinkan Penundaan untuk Celah Berisiko RendahCISABOD 26-04Vulnerability ManagementFederal CybersecurityFine Print·Jun 12, 2026·4 min readBaca artikel
11EU Artificial Intelligence ActKelonggaran Jadwal dalam Undang-Undang AI Uni Eropa Lebih Rumit dari yang TerlihatEU AI ActAI GovernanceCompliance DeadlinesEuropean CommissionFine Print·Jun 8, 2026·5 min readBaca artikel