Agensi persekutuan yang bertanggungjawab membela infrastruktur penting Amerika daripada serangan siber telah kehilangan kira-kira sepertiga tenaga kerjanya sejak awal 2025. Dan ia akan menjadi lebih buruk lagi.
Agensi Keselamatan Siber dan Infrastruktur, lebih dikenali sebagai CISA, sedang menghadapi cadangan pemotongan belanjawan sebanyak $707 juta pada Tahun Peruntukan 2027 yang boleh menghapuskan 766 kedudukan penuh masa lagi. Ini berlaku pada masa yang tepat apabila ancaman siber yang digerakkan oleh AI sedang berkembang lebih pantas daripada kebanyakan organisasi boleh membaiki sistem mereka.
Ancaman AI yang mengubah kalkulasi
Pada 7 April 2026, Anthropic melancarkan Claude Mythos Preview, satu model AI yang mampu mengenal ribuan kelemahan zero-day dan melaksanakan serangan autonom.
Kerentanan zero-day ialah kelemahan keselamatan yang belum diketahui oleh pembuat perisian. Ia adalah jenis eksploit yang paling berbahaya kerana tiada pampas yang tersedia apabila penyerang menyerang. Secara sejarah, mencari kerentanan ini memerlukan peringkat peringkat hacker elit dengan kepakaran mendalam yang menghabiskan berminggu-minggu atau berbulan-bulan menguji sistem. Claude Mythos Preview telah mampatkan tempoh masa itu secara ketara.
Pengarah CISA sementara, Nick Andersen, telah digambarkan sebagai “di meja, bukan dalam permainan” semasa perbincangan awal di Gedung Putih mengenai tindak balas ancaman AI. Itu adalah cara yang sopan untuk mengatakan bahawa masukan agensi didengar tetapi tidak memandu keputusan.
Lebih buruk lagi, CISA belum menggantikan pegawai AI utamanya sejak jawatan itu lowong pada 2025. Jadi, agensi yang bertanggungjawab untuk membela infrastruktur digital negara tidak mempunyai pemimpin tinggi yang khusus memahami teknologi yang sedang membentuk semula landskap ancaman.
Kehilangan tenaga kerja bertemu ancaman yang semakin meningkat
Pengurangan tenaga kerja CISA sebanyak kira-kira sepertiga berlaku melalui kombinasi pembelian balik yang dirancang dan tindakan belanjawan.
CISA mengendalikan program Vulnerabilities yang Diketahui Dieksploitasi, atau KEV, yang mempertahankan katalog kelemahan keselamatan yang sedang dieksploitasi secara aktif dan menetapkan batas masa bagi agensi kerajaan untuk membaikinya. Perbincangan semasa sedang mengkaji sama ada untuk memendekkan tempoh pembaikan tersebut daripada berminggu-minggu kepada seberapa singkat tiga hari sahaja.
Pegawai-pegawai terdahulu telah mengungkapkan kebimbangan secara awam bahawa peralihan strategik daripada peranan tradisional CISA boleh merosakkan pengurusan kerentanan pada masa ketika kemampuan yang digerakkan oleh AI menjadikan tindakan pantas lebih penting daripada sebelumnya.