Menyikapi Tren AI Shadow serta "Blind Spot" Tata Kelola AI dan Data
PADA November 2025, MIT Media Lab melalui Project NANDA merilis temuan mengejutkan.
Sebanyak 40 persen perusahaan memiliki langganan alat AI resmi, 90 persen pekerja menggunakan AI pribadi seperti Grok, ChatGPT atau Claude untuk tugas kantor setiap hari. Dan ini dilakukan seringkali tanpa sepengetahuan atasan.
Laporan MIT NANDA State of AI in Business 2025 mengungkap kesenjangan yang mengkhawatirkan: meskipun perusahaan menginvestasikan 30-40 miliar dollar AS ke dalam AI generatif, hanya 5 persen dari pilot AI khusus perusahaan yang berhasil mencapai produksi dan memberikan dampak terukur.
Sementara itu, 90 persen pekerja melaporkan penggunaan harian alat AI pribadi. Hal ini menciptakan apa yang disebut peneliti sebagai "shadow AI economy".
Sistem bayangan ini bukan hanya sekadar pelanggaran kebijakan. Sistem bayangan berbasis AI seolah sering dan dipercaya memberikan kinerja lebih baik dan adopsi lebih cepat daripada sistem resmi yang disediakan perusahaan.
Preferensi pekerja mengungkap paradoks lebih dalam. Untuk tugas cepat seperti menulis email atau analisis dasar, 70 persen pekerja lebih memilih AI daripada rekan manusia karena kecepatan dan konsistensinya.
Namun, untuk pekerjaan kompleks dan berisiko tinggi (seperti keputusan strategis, evaluasi kinerja, atau peninjauan kontrak), 90 persen pekerja masih menginginkan pengawasan manusia.
Hal ini karena mereka menyadari ketidakmampuan AI untuk mempertahankan memori konteks, beradaptasi dengan nuansa spesifik, dan memahami implikasi etis dari keputusan yang diambil.
Menurut riset dari Microsoft dan Censuswide pada Oktober 2025 dalam survei terhadap 2.003 pekerja Inggris, AI generatif telah menghemat 7,75 jam per minggu per karyawan untuk tugas administratif.
Ini setara dengan 12,1 miliar jam atau 268 miliar dollar AS nilai waktu pekerja per tahun di seluruh ekonomi Inggris.
Namun, 32 persen responden yang khawatir tentang privasi data perusahaan atau pelanggan yang dimasukkan ke dalam alat AI konsumen. Selanjutnya 29 persen responden peduli tentang keamanan sistem IT organisasi mereka.
Fenomena "shadow AI" membawa suatu masalah baru. Saya menyebutnya sebagai "blind spot tata kelola".
Dengan menggunakan AI generatif, seolah produktivitas melonjak, tetapi kesadaran risiko merosot tajam.
Para pekerja yang menggunakan AI generatif biasanya enggan sekali dibatasi dan diatur dengan tata kelola AI dan data yang ditetapkan oleh perusahaan atau institusi.
Kebocoran informasi identitas pribadi
angka dari IBM Cost of a Data Breach Report 2025 mengungkap skala nyata dari krisis ini. Dari 600 organisasi yang mengalami pelanggaran data antara Maret 2024 dan Februari 2025, sebanyak 20 persen melaporkan insiden keamanan yang melibatkan "shadow AI".
Organisasi dengan tingkat "shadow AI" tinggi menghadapi tambahan biaya 670.000 dollar AS dibandingkan dengan mereka yang memiliki tingkat rendah atau tanpa "shadow AI" —menempatkan "shadow AI" sebagai salah satu dari tiga faktor pelanggaran termahal, menggantikan kekurangan keterampilan keamanan dari tahun-tahun sebelumnya.
Yang lebih mengkhawatirkan adalah jenis data yang dikompromikan: insiden "shadow AI" menyebabkan kebocoran informasi identitas pribadi (PII) pelanggan pada 65 persen kasus, atau jauh lebih tinggi dari rata-rata global 53 persen.
Kekayaan intelektual juga terkena dampak di 40 persen insiden. Data ini paling sering tersimpan di berbagai lingkungan, cloud publik, server lokal, perangkat pribadi, atau mengungkap bagaimana "hanya satu sistem AI yang tidak terpantau dapat menyebabkan dampak luas" di seluruh tumpukan teknologi organisasi.
Lebih parah lagi, hanya 17 persen perusahaan yang memiliki kontrol teknis untuk mencegah karyawan mengunggah data rahasia ke alat AI publik. Sisanya 83 persen hanya mengandalkan sesi pelatihan, email peringatan, atau tidak melakukan apa-apa sama sekali.
Seperti yang diungkapkan penelitian CybSafe dan National Cybersecurity Alliance pada akhir 2024, sekitar 38 persen karyawan berbagi data rahasia dengan platform AI tanpa persetujuan dari 7.000 responden yang disurvei.
Semua hasil-hasil dari survei global ini beresonansi dengan survei Sharing Vision tentang Penggunaan AI di Indonesia Juni 2025 dengan hampir 6.000 responden. Sekitar 66 persen responden mengkhawatirkan bocornya atau penyalahgunaan data pribadi.
Fenomena "shadow AI" bukan hanya masalah teknis, tapi cerminan dari celah kepercayaan yang lebih dalam antara karyawan dan sistem korporat.
Survei dari SHL pada November 2025 terhadap lebih dari 1.000 pekerja dewasa AS mengungkap bahwa hanya 27 persen pekerja AS sepenuhnya mempercayai pemberi kerja mereka untuk menggunakan AI secara bertanggung jawab.
Lebih dari separuh (59 persen) percaya AI memperburuk bias, bukan memperbaikinya. Dan 56 persen lebih suka manusia, bukan algoritma, untuk meninjau lamaran pekerjaan, sementara 58 persen ingin manusia mengevaluasi kinerja kerja dan membuat keputusan yang memengaruhi karier mereka.
Riset Deloitte TrustID Index menambahkan dimensi mengkhawatirkan: kepercayaan terhadap AI generatif yang disediakan perusahaan—alat yang seharusnya meringankan beban kerja dan meningkatkan kreativitas—turun 31 persen antara Mei dan Juli 2025.
Yang lebih dramatis, kepercayaan terhadap sistem agentic AI yang dapat bertindak independen, bukan hanya membuat rekomendasi, jatuh 89 persen selama periode yang sama.
Karyawan semakin gelisah dengan teknologi yang mengambil alih keputusan yang dulunya menjadi milik mereka.
Penelitian global dari University of Melbourne dan KPMG pada 2025, yang mengumpulkan perspektif dari lebih dari 48.000 orang di 47 negara, mengkonfirmasi pola ini: 42 persen percaya manfaat AI lebih besar daripada risikonya, tetapi 32 persen percaya sebaliknya, dan 26 persen menganggap manfaat dan risiko setara, atau mencerminkan ambivalensi yang mendalam.
Responden AS menunjukkan sikap yang lebih berhati-hati dan skeptis terhadap AI dibandingkan rata-rata global.
Edelman's 2025 Trust Barometer menambahkan: hanya 17 persen orang Amerika yang merangkul penggunaan AI yang semakin meningkat, sementara 49 persen secara aktif menolaknya —kontras tajam dengan 54 persen orang China yang merangkul AI.
Namun, inilah paradoksnya: meskipun ada ketidakpercayaan ini, pekerja tetap menggunakan AI, mereka hanya menggunakan versi pribadi mereka sendiri, bukan yang disediakan perusahaan.
Mengapa? Karena alat pribadi lebih cepat, lebih intuitif, dan tidak terjebak dalam birokrasi persetujuan.
Seperti yang ditekankan Daniel Spicer, VP Security dan Chief Security Officer Ivanti, "Shadow IT adalah hasil dari tidak memiliki cara yang jelas dan masuk akal untuk menguji alat atau menyelesaikan pekerjaan."
Ketika karyawan tidak diberdayakan oleh alat resmi, mereka akan mencari solusi sendiri. Dan, itulah akar dari ekonomi bayangan.
"Shadow AI" bukan hanya risiko internal, tapi juga menciptakan permukaan serangan yang lebih luas untuk penyerang eksternal.
IBM menemukan bahwa 16 persen pelanggaran data pada 2025 melibatkan penyerang yang menggunakan AI, paling sering untuk phishing yang dihasilkan AI (37 persen) dan serangan deepfake impersonasi (35 persen).
Dalam laporan sebelumnya, IBM menyatakan bahwa AI generatif mengurangi waktu yang dibutuhkan untuk menulis email phishing yang meyakinkan dari 16 jam menjadi hanya lima menit.
Sekarang, sistem AI menghasilkan lebih dari satu miliar baris kode setiap hari, memungkinkan penyerang untuk mengotomatisasi kampanye massal dengan biaya rendah.
Lebih berbahaya lagi, alat open-source seperti DeepSeek (yang baru-baru ini dilarang oleh Kongres AS karena kekhawatiran keamanan) memperburuk masalah.
Meskipun pengembang dapat meng-hosting instance DeepSeek lokal di server yang terisolasi, banyak karyawan hanya menggunakan versi yang tersedia untuk umum tanpa mempertimbangkan implikasi keamanan.
Seperti yang ditunjukkan penelitian Varonis pada Juni 2025, sebanyak 90 persen organisasi memiliki file sensitif yang terekspos melalui Microsoft 365 Copilot, dengan rata-rata 25.000+ folder sensitif yang dapat diakses oleh siapa saja yang mengajukan prompt yang tepat.
Di lingkungan Salesforce, 100 persen deployment memiliki setidaknya satu akun yang mampu mengekspor semua data.
Ini bukan kerentanan teoretis, ini adalah titik eksposur aktif di mana satu pertanyaan yang salah dapat mengungkap bertahun-tahun informasi rahasia.
Lanskap regulasi juga bergerak cepat. Lembaga AS menerbitkan 59 regulasi AI pada 2024 (lebih dari dua kali lipat tahun sebelumnya).
Secara global, 75 negara meningkatkan legislasi AI sebesar 21 persen. Namun, meskipun ada lonjakan regulasi ini, hanya 12 persen perusahaan yang mencantumkan pelanggaran kepatuhan di antara kekhawatiran AI teratas mereka, menurut Kiteworks.
Diskonneksi antara percepatan regulasi dan kesadaran organisasi ini menciptakan bom waktu kepatuhan.
Data MIT NANDA memberikan pencerahan kritis tentang mengapa blind spot tata kelola ini begitu persisten.
Dari 300 inisiatif AI publik yang dianalisis, wawancara dengan 150 pemimpin perusahaan, dan survei terhadap 350 karyawan, laporan menemukan bahwa strategi "beli" (membeli alat AI dari vendor profesional) memiliki tingkat keberhasilan sekitar 67 persen, dibandingkan dengan hanya 33 persen untuk strategi "bangun" internal.
Ini menantang langsung perusahaan yang menginvestasikan miliaran dollar AS dalam sistem AI proprietary mereka dan mempertanyakan efisiensi pengeluaran modal mereka.
Lebih jauh, laporan mengungkap bias investasi yang salah arah: meskipun lebih dari setengah anggaran AI generatif dialokasikan untuk alat penjualan dan pemasaran, ROI tertinggi justru berasal dari otomasi back-office—seperti mengurangi biaya proses bisnis yang di-outsourcing dan biaya agensi eksternal.
Studi kasus menunjukkan penghematan 2-10 juta dollar AS per tahun dengan menggantikan dukungan yang di-outsourcing dan tinjauan dokumen, serta pengurangan 30 persen dalam pengeluaran agensi eksternal.
Masalahnya terletak pada "learning gap" (kesenjangan pembelajaran): AI perusahaan gagal karena tidak dapat belajar dari workflow spesifik, tidak memiliki memori persisten, dan tidak terintegrasi dengan sistem kerja nyata.
Sebaliknya, alat konsumen seperti ChatGPT atau Claude terus belajar dari interaksi pengguna, menawarkan pengalaman yang lebih personal dan responsif, meskipun tanpa jaminan keamanan.
Seperti yang ditekankan peneliti MIT, fase berikutnya dari AI akan didefinisikan oleh Agentic AI—sistem yang mengingat, belajar, dan bertindak secara otonom.
Protokol seperti NANDA dan Model Context Protocol sedang meletakkan dasar untuk "Agentic Web," di mana agen AI berkoordinasi di seluruh organisasi dan platform.
Dari polisi jadi mitra
Menghadapi "shadow AI" bukan tentang melarang atau menghukum karena pendekatan itu sudah terbukti tidak efektif.
Seperti yang ditunjukkan penelitian Varonis, larangan korporat tradisional sulit ditegakkan karena beberapa alasan: karyawan menemukan solusi alternatif ketika mereka percaya AI akan membantu produktivitas; perangkat pribadi dan jaringan rumah menyediakan titik akses alternatif; jumlah alat AI yang terus bertambah membuat pemblokiran komprehensif tidak praktis; dan karyawan sering tidak memahami implikasi keamanan dari tindakan mereka.
Alih-alih, organisasi harus mengadopsi pendekatan yang lebih holistik:
Pertama, membangun tata kelola yang realistis dan inkremental. Organisasi bisa memulai dengan kebijakan penggunaan AI yang jelas, dapat diakses, dan praktis, lalu mengembangkan lebih lanjut bila adopsi meningkat.
Klasifikasikan alat AI ke dalam beberapa kategori. Misalnya, kategori-kategori Disetujui, Penggunaan Terbatas, dan Dilarang.
Organisasi menentukan mekanisme penegakan penanganan data. Karyawan harus tahu jenis data apa yang dapat dan tidak dapat dimasukkan ke dalam alat AI.
Kedua, menyediakan alternatif yang setara atau lebih baik. Organisasi membuat "AI AppStore" internal yang menampilkan daftar tools AI yang disetujui, memastikan karyawan memiliki akses ke solusi AI yang aman dan disetujui perusahaan dengan kemampuan setara.
Ketiga, mengedukasi tanpa menakut-nakuti. Organisasi memberikan pelatihan komprehensif tentang cara kerja AI, termasuk risiko, penggunaan yang bertanggung jawab, dan praktik terbaik.
Organisasi membuat AI sandbox di mana karyawan dapat menguji alat AI dalam lingkungan terkontrol.
Organisasi menjadikan pelaporan tools AI yang tidak disetujui sebagai proses yang aman dan otomatis, dengan memperkuat bahwa tujuannya adalah meningkatkan pengawasan, bukan menghukum inisiatif.
Sebaiknya organisasi menggeser fokus pemahaman tentang Governance untuk AI dan data (dari polisi menjadi kemitraan) dengan mengakui dan memberi penghargaan kepada tim yang mengikuti praktik terbaik.
Ketika karyawan melihat penggunaan AI yang bertanggung jawab sebagai peluang, bukan pembatasan, kepatuhan menjadi tanggung jawab bersama.
Keempat, mengimplementasikan visibilitas dan audit reguler. Organisasi mendeploy solusi monitoring yang dapat mengaudit penggunaan AI di seluruh departemen.
Kemudian, organisasi melakukan audit departemen untuk mengidentifikasi alat mana yang diandalkan tim.
Dan, organisasi menerapkan prinsip zero-trust untuk memperlakukan semua AI sebagai berisiko sampai diverifikasi.
Investasi dalam solusi tata kelola dan keamanan terintegrasi memungkinkan organisasi untuk mendapatkan visibilitas ke semua deployment AI (termasuk shadow AI), mengurangi kerentanan, melindungi prompt dan data, serta menggunakan alat observabilitas untuk meningkatkan kepatuhan dan mendeteksi anomali.
Kelima, mempertahankan manusia dalam Loop (HITL/Human In The Loop). Untuk keputusan berisiko tinggi, seperti perekrutan, evaluasi kinerja, atau transaksi finansial, organisasi memastikan AI hanya memberikan rekomendasi, tetapi manusia mempertahankan persetujuan akhir.
Sistem Human-in-the-Loop (HITL) menjaga penilaian manusia, terutama dalam keputusan SDM yang bernuansa di mana empati dan konteks kritis.
Kesimpulan: Dari blind spot menuju transparansi
"Shadow AI" adalah simptom, bukan penyakit. Penyakit sebenarnya adalah kegagalan organisasi untuk menyediakan tools yang pas, proses yang gesit, dan kepercayaan yang dibangun.
Ketika 90 persen pekerja menggunakan AI pribadi meskipun hanya 40 persen perusahaan memiliki langganan resmi, ini bukan tanda pemberontakan—ini adalah tanda kelaparan akan produktivitas yang tidak terpenuhi oleh sistem korporat yang lamban.
Data dari MIT, IBM, Microsoft, SHL, KPMG, maupun Sharing Vision Indonesia, semuanya menunjuk pada kesimpulan yang sama: ekonomi AI bayangan akan terus berkembang kecuali organisasi mengambil langkah proaktif untuk menjembatani kesenjangan antara kebutuhan karyawan dan tata kelola yang bertanggung jawab.
Solusinya bukan larangan, tetapi pemberdayaan; bukan hukuman, tetapi kemitraan; bukan kontrol yang kaku, tetapi visibilitas yang adaptif.
Seperti yang ditekankan laporan IBM, "Organisasi harus memastikan CISO, CRO, dan CCO serta tim mereka berkolaborasi secara teratur. Berinvestasi dalam perangkat lunak dan proses keamanan dan tata kelola terintegrasi untuk menyatukan pemangku kepentingan lintas fungsi ini dapat membantu organisasi secara otomatis menemukan dan mengelola shadow AI."
Di tahun 2026, ketika AI agentic mulai menggantikan alat SaaS statis dan sistem AI menghasilkan miliaran baris kode setiap hari, jendela untuk bertindak sangat sempit.
Namun peluang untuk menciptakan lingkungan kerja yang produktif, aman, dan saling percaya masih terbuka lebar asalkan kita berani mengubah "blind spot" menjadi transparansi, dari polisi menjadi mitra, dan dari kontrol menuju kolaborasi.
Karena pada akhirnya, AI terbaik adalah AI yang diberdayakan oleh kepercayaan manusia, bukan yang bersembunyi di balik tab browser yang tertutup.
Dan, bagaimana merangkul seluruh organisasi dan karyawan menuju tata kelola AI dan data yang bersifat kemitraan --bukan polisi-- nampaknya memerlukan peningkatan nampaknya memerlukan juga perubahan paradigma komunikasi organisasi dari mekanistik I-It, menuju komunukasi organisasi humanistik I-Thou ala Martin Buber.
Mari rangkul seluruh organisasi Anda meninggalkan blind spot tata kelola AI, dengan mengembangkan solusi yang pas untuk organisasi, dengan berbasis HITL (Human In The Loop), dan mengajak serta seluruh tim dalam perusahaan ke dalam siklus organic tata kelola AI yang holistik dan manusiawi.
Dalam segala situasi, KOMPAS.com berkomitmen memberikan fakta jernih dari lapangan. Ikuti terus update topik ini dan notifikasi penting di Aplikasi KOMPAS.com.
