Ketika Kamus Collins mengumumkan ‘Word of the Year’ tahun 2025, banyak yang terkejut melihat getarannya pengkodean mengambil posisi teratas.
Istilah ini menggambarkan penggunaan alat AI untuk membangun perangkat lunak melalui petunjuk dibandingkan pengkodean tradisional, sebuah praktik yang meningkat seiring dengan semakin mudahnya akses model bahasa besar.
Direktur Senior, Kantor Teknologi Lapangan di CyberArk.
Munculnya pengkodean getaran membawa harapan nyata. Itu bisa terbuka pemrograman kepada khalayak yang lebih luas, membangun literasi teknologi dan menghilangkan pekerjaan yang berulang-ulang. Namun hal ini juga memiliki risiko yang signifikan, terutama bagi pengguna yang tidak sepenuhnya memahami kode yang dibuat atas nama mereka.
Inti permasalahannya sederhana saja. Menjalankan kode yang tidak tepercaya atau tidak diperiksa dapat membuat sistem terkena ancaman keamanan yang serius, baik melalui kerentanan halus yang muncul tanpa disadari oleh pengguna atau eksekusi kode berbahaya yang tidak disengaja.
Risiko kode yang tidak diperiksa
Pembuat kode tradisional, terutama dalam konteks bisnis, tidak hanya memiliki pengetahuan komprehensif tentang pengembangan perangkat lunak tetapi juga sistem spesifik yang mereka kembangkan kodenya.
Mereka benar-benar dapat memahami kode yang mereka tulis, dan apa sebenarnya yang dilakukannya pada mesin. Proses tradisional ini juga mencakup pengujian ketat, peninjauan kode, dan pemeriksaan keamanan sebelum penerapan praktis apa pun.
Meskipun penghematan waktu dan biaya dari pengkodean getaran mungkin menarik, hal ini sering kali mengorbankan keahlian dan pengawasan yang ditawarkan pengkodean tradisional. Kode yang dihasilkan AI, misalnya, sering kali bersifat umum, meskipun dibuat dari perintah yang ekstensif.
LLM tidak memiliki konteks spesifik bisnis keamanan siberkebijakan dan protokol manajemen identitas dan perlindungan data, dan mungkin melanggarnya secara tidak sengaja.
Dalam beberapa kasus, kode yang belum diperiksa juga dapat mengungkap kredensial sensitif atau membuka kerentanan dalam sistem tanpa disadari oleh pengembang amatir.
Faktanya, menurut penelitian terbaru dari Cornell University, 25-30% dari 733 cuplikan kode yang dihasilkan oleh LLM populer mengandung kelemahan keamanan yang serius, yang mencakup 43 kelemahan umum (CWE) berbeda yang dapat dengan mudah dieksploitasi oleh penyerang.
Serangan rantai pasokan dan kode ‘keracunan’
Meskipun kode yang dihasilkan oleh LLM mungkin tidak selalu mengandung kerentanan atau elemen berbahaya, kode tersebut tidak secara otomatis aman. Banyak AI model dilatih pada repositori kode publik dan tanpa sadar dapat memanfaatkan fungsi eksternal dari sumber tersebut.
Penyerang sangat menyadari hal ini. Dengan menargetkan repositori yang dapat diakses publik yang kemungkinan besar akan diambil oleh LLM atau alat AI lainnya, mereka dapat membahayakan sejumlah besar cuplikan kode yang dihasilkan AI sekaligus. Bahkan proyek yang tampak aman pun dapat terpengaruh jika pustaka kodenya berasal dari sumber yang dimanipulasi atau dirusak.
Jika model AI tanpa sadar mengambil kode yang ‘diracuni’, model tersebut dapat direplikasi ke ribuan proyek dalam hitungan detik.
Bergantung pada seberapa luas kode tersebut diterapkan, kerusakan yang ditimbulkan bisa sangat besar, mulai dari pengambilan data sensitif hingga penerapannya perangkat lunak perusak seperti Alat Akses Jarak Jauh atau ransomware, atau bahkan tidak aktif dalam sistem hingga diaktifkan oleh penyerang.
Bisakah pengkodean getaran aman?
Vibe coding menawarkan keuntungan yang jelas, seperti pengembangan dan penerapan yang lebih cepat, namun bisnis tetap harus melakukan pendekatan dengan tingkat kehati-hatian yang sama seperti yang diterapkan pada teknologi baru apa pun.
Pengawasan manusia, misalnya, tetap penting, dan ruang rapat, tim kepatuhan, dan pemimpin TI harus melakukan peninjauan menyeluruh terhadap semua kode yang dihasilkan AI tanpa pengecualian. Kode yang dihasilkan oleh AI harus diperiksa dengan ketelitian yang sama seperti kode yang ditulis manusia, terlepas dari seberapa lengkap atau akurat perintah tersebut.
Keamanan data adalah pertimbangan penting lainnya. Memasukkan informasi rahasia atau hak milik ke dalam alat AI, terutama yang bersifat publik, secara signifikan meningkatkan risiko paparan.
Untuk meminimalkan hal ini, tim harus mengandalkan LLM pribadi dan sandbox yang dilatih berdasarkan data internal tepercaya jika memungkinkan. Pustaka kode juga harus bersumber secara internal atau, ketika opsi eksternal diperlukan, diambil dari repositori resmi yang secara aktif dipantau untuk perubahan yang tidak sah.
Kontrol akses memberikan lapisan perlindungan tambahan. Kode yang dihasilkan AI hanya boleh diberikan izin yang diperlukan agar dapat berfungsi, dan bisnis harus mengadopsi praktik manajemen identitas modern berdasarkan prinsip Zero Trust.
Ini termasuk verifikasi eksplisit untuk setiap identitas dan penghapusan hak akses setelah tidak diperlukan lagi. Dengan membatasi izin dengan cara ini, bahkan jika kode berbahaya disebarkan, kemampuannya untuk berpindah melalui sistem atau mengakses data sensitif menjadi sangat dibatasi.
Pengkodean getaran akan tetap ada
Suka atau tidak suka, pengkodean getaran akan tetap ada. Hal ini dapat mempercepat pengembangan, membuat pengkodean lebih mudah diakses oleh tim non-teknis, dan memberikan penghematan waktu dan biaya yang berarti. Tidak mengherankan jika banyak bisnis ingin memanfaatkannya.
Namun jika tidak hati-hati, pengkodean getaran juga dapat meningkatkan paparan terhadap risiko dunia maya. Organisasi perlu menyeimbangkan eksperimen dengan pengawasan yang kuat, kebijakan, dan tinjauan menyeluruh, memahami di mana pengkodean getaran menambah nilai dan di mana risikonya lebih besar daripada imbalannya.
AI dapat menulis kode dengan kecepatan luar biasa, namun hanya manusia yang dapat memverifikasi bahwa keluarannya aman. Dalam beberapa situasi, pengkodean tradisional atau intervensi ahli masih merupakan pilihan yang lebih cerdas. Vibe coding mungkin menawarkan kemudahan, namun tidak selalu sepadan dengan risikonya.
Kami telah menampilkan perangkat lunak enkripsi terbaik.
Artikel ini dibuat sebagai bagian dari saluran Expert Insights TechRadarPro tempat kami menampilkan para pemikir terbaik dan tercemerlang di industri teknologi saat ini. Pandangan yang diungkapkan di sini adalah milik penulis dan belum tentu milik TechRadarPro atau Future plc. Jika Anda tertarik untuk berkontribusi, cari tahu lebih lanjut di sini: https://www.techradar.com/news/submit-your-story-to-techradar-pro
