Kode yang Dihasilkan AI di Sini untuk Bertahan. Apakah Kita Kurang Aman sebagai Akibatnya?

Pengkodean di 2025 tidak lagi tentang mengerjakan fragmen atau menghabiskan waktu lama untuk debugging. Ini adalah getaran yang berbeda. Kode yang dihasilkan AI akan menjadi sebagian besar kode di produk masa depan dan telah menjadi toolkit esensial untuk pengembang modern. Dikenal sebagai “vibe coding”, penggunaan kode yang dihasilkan oleh alat seperti Github Copilot, Amazon CodeWhisperer, dan Chat GPT akan menjadi norma dan bukan pengecualian dalam mengurangi waktu pembangunan dan meningkatkan efisiensi. Tapi apakah kenyamanan kode yang dihasilkan AI mengancam ancaman yang lebih gelap? Apakah AI generatif meningkatkan kerentanan dalam arsitektur keamanan atau apakah ada cara bagi pengembang untuk “vibe code” dengan aman?

“Insiden keamanan sebagai akibat dari kerentanan dalam kode yang dihasilkan AI adalah salah satu topik yang paling sedikit dibahas saat ini,” Sanket Saurav, pendiri DeepSource, mengatakan. “Masih banyak kode yang dihasilkan oleh platform seperti Copilot atau Chat GPT yang tidak mendapatkan tinjauan manusia, dan pelanggaran keamanan dapat menjadi bencana bagi perusahaan yang terkena dampak.”

Pengembang platform open source yang menggunakan analisis statis untuk kualitas kode dan keamanan, Saurav mengutip serangan SolarWinds pada 2020 sebagai contoh “peristiwa kepunahan” yang dapat dihadapi perusahaan jika mereka tidak menginstal pengaman keamanan yang tepat saat menggunakan kode yang dihasilkan AI. “Analisis statis memungkinkan identifikasi pola kode yang tidak aman dan praktik pengkodean yang buruk,” Saurav mengatakan.

Diserang Melalui Perpustakaan

Ancaman keamanan terhadap kode yang dihasilkan AI dapat mengambil bentuk yang kreatif dan dapat ditujukan pada perpustakaan. Perpustakaan dalam pemrograman adalah kode yang dapat digunakan kembali yang berguna yang digunakan pengembang untuk menghemat waktu saat menulis.

Mereka sering menyelesaikan tugas pemrograman reguler seperti mengelola interaksi database dan membantu programmer dari harus menulis kode dari awal.

Salah satu ancaman terhadap perpustakaan adalah yang dikenal sebagai “halusinasi”, di mana kode generatif AI menampilkan kerentanan dengan menggunakan perpustakaan fiksi. Ancaman lain yang lebih baru terhadap kode yang dihasilkan AI disebut “slopsquatting” di mana penyerang dapat secara langsung menargetkan perpustakaan untuk menginfiltrasi database.

Mengatasi ancaman ini mungkin memerlukan lebih banyak kesadaran daripada yang disarankan oleh istilah “vibe coding”. Berbicara dari kantornya di Université du Québec en Outaouais, Profesor Rafael Khoury telah mengikuti perkembangan dalam keamanan kode yang dihasilkan AI dan yakin bahwa teknik baru akan meningkatkan keamanannya.

Dalam sebuah makalah pada 2023, Profesor Khoury menyelidiki hasil dari meminta ChatGPT untuk menghasilkan kode tanpa konteks atau informasi tambahan, sebuah praktik yang menghasilkan kode yang tidak aman. Itu adalah hari-hari awal Chat GPT dan Khoury sekarang optimis tentang masa depan. “Sejak saat itu, banyak penelitian yang sedang ditinjau dan masa depan sedang melihat strategi untuk menggunakan LLM yang dapat menghasilkan hasil yang lebih baik,” Khoury mengatakan, menambahkan bahwa “keamanan menjadi lebih baik, tetapi kita belum berada di tempat di mana kita dapat memberikan prompt langsung dan mendapatkan kode yang aman.”

Khoury melanjutkan untuk menjelaskan sebuah studi yang menjanjikan di mana mereka menghasilkan kode dan kemudian mengirimkan kode tersebut ke alat yang menganalisisnya untuk kerentanan. Metode yang digunakan oleh alat ini disebut Finding Line Anomalies with Generative AI (atau FLAG untuk singkatnya).

“Alat-alat ini mengirimkan FLAG yang mungkin mengidentifikasi kerentanan pada baris 24, misalnya, yang kemudian dapat dikirim kembali ke LLM dengan informasi dan meminta untuk memeriksanya dan memperbaiki masalahnya,” katanya.

Khoury menyarankan bahwa proses bolak-balik ini mungkin sangat penting untuk memperbaiki kode yang rentan terhadap serangan. “Studi ini menunjukkan bahwa dengan lima iterasi, Anda dapat mengurangi kerentanan hingga nol.”

Namun, metode FLAG tidak tanpa masalah, terutama karena dapat menyebabkan positif palsu dan negatif palsu. Selain itu, ada juga keterbatasan dalam panjang kode yang dapat dibuat oleh LLM dan tindakan menggabungkan fragmen dapat menambahkan lapisan risiko lain.

Menjaga Manusia dalam Lingkaran

Beberapa pemain dalam “vibe coding” merekomendasikan fragmentasi kode dan memastikan bahwa manusia tetap berada di tengah-tengah dalam editan kode yang paling penting. “Ketika menulis kode, pikirkan dalam bentuk komit,” Kevin Hou, kepala rekayasa produk di Windsurf, mengatakan, memuji kebijaksanaan potongan-potongan kecil.

“Pecah sebuah proyek besar menjadi potongan-potongan kecil yang biasanya akan menjadi komit atau permintaan tarik. Biarkan agen membangun skala kecil, satu fitur terisolasi pada satu waktu. Ini dapat memastikan bahwa kode outputnya telah diuji dan dipahami dengan baik,” tambahnya.

Pada saat penulisan, Windsurf telah mendekati lebih dari 5 miliar baris kode yang dihasilkan AI (melalui nama sebelumnya Codeium). Hou mengatakan bahwa pertanyaan paling mendesak yang mereka jawab adalah apakah pengembang menyadari prosesnya.

“AI dapat membuat banyak edit di banyak file secara bersamaan, jadi bagaimana kita dapat memastikan bahwa pengembang benar-benar memahami dan meninjau apa yang terjadi daripada hanya menerima semuanya?” Hou bertanya, menambahkan bahwa mereka telah berinvestasi berat dalam UX Windsurf “dengan banyak cara intuitif untuk tetap sepenuhnya sejalan dengan apa yang AI lakukan, dan untuk menjaga manusia tetap sepenuhnya dalam lingkaran.”

Itulah mengapa ketika “vibe coding” menjadi lebih mainstream, manusia dalam lingkaran harus lebih berhati-hati terhadap kerentanannya. Dari “halusinasi” hingga ancaman “slopsquatting”, tantangan tersebut nyata, tetapi solusinya juga nyata.

Alat-alat yang muncul seperti analisis statis, metode penyempurnaan iteratif seperti FLAG, dan desain UX yang bijak menunjukkan bahwa keamanan dan kecepatan tidak harus saling eksklusif.

Kunci terletak pada menjaga pengembang terlibat, terinformasi, dan mengendalikan. Dengan pengaman yang tepat dan sikap “percaya tetapi verifikasi”, pengkodean yang dibantu AI dapat menjadi revolusioner dan bertanggung jawab.