Kecepatan bukan lagi keunggulan — ia sudah menjadi ekspektasi. Dan kini, dengan hadirnya AI coding assistant seperti GitHub Copilot, Amazon CodeWhisperer, hingga ChatGPT yang digunakan langsung di dalam IDE, kecepatan itu benar-benar terwujud. Developer menulis kode dua kali lebih cepat. Sprint terasa lebih pendek. Fitur rilis lebih awal dari jadwal.

Tapi di balik akselerasi itu, ada sesuatu yang juga ikut bergerak cepat: kerentanan keamanan.

Produktivitas yang Menyesatkan

Peneliti dari Stanford University menemukan bahwa programmer yang menggunakan bantuan AI cenderung menghasilkan kode yang lebih rentan dibandingkan mereka yang bekerja tanpa bantuan AI. Temuan ini termuat dalam makalah ilmiah berjudul "Do Users Write More Insecure Code with AI Assistants?" yang diterbitkan oleh Neil Perry, Megha Srivastava, Deepak Kumar, dan Dan Boneh.

Yang lebih mengkhawatirkan bukan sekadar jumlah kerentanannya — melainkan persepsi yang mengikutinya. Para peserta yang menggunakan AI assistant justru lebih yakin bahwa kode yang mereka hasilkan sudah aman, padahal kenyataannya sebaliknya. Ini adalah kombinasi yang berbahaya: kode yang rentan, dikombinasikan dengan kepercayaan diri yang salah tempat.

Jauh sebelum penelitian Stanford tersebut, peneliti dari NYU telah lebih dulu menemukan pola serupa. Dalam studi berjudul "Asleep at the Keyboard? Assessing the Security of GitHub Copilot's Code Contributions", tim NYU menguji 89 skenario pemrograman dan menemukan bahwa sekitar 40 persen program yang dihasilkan dengan bantuan Copilot memiliki celah keamanan yang berpotensi dieksploitasi.

Empat dari sepuluh kode. Bukan dari developer junior yang ceroboh — melainkan dari alat yang secara aktif dipromosikan sebagai solusi produktivitas kelas dunia.

Mengapa AI Tidak Dirancang untuk Peduli pada Keamanan

Untuk memahami akar masalahnya, perlu dipahami bagaimana model AI coding ini bekerja secara fundamental. Model-model tersebut dilatih pada miliaran baris kode yang tersedia secara publik di repository seperti GitHub. GitHub Copilot, misalnya, dilatih pada data yang berasal dari GitHub — dan data tersebut diketahui mengandung kode-kode yang bermasalah dari sisi keamanan.

Dengan kata lain: sampah masuk, sampah keluar — hanya saja sampah ini terlihat rapi, terstruktur, dan siap di-deploy.

Model AI mengoptimalkan satu hal utama: menghasilkan kode yang berfungsi dan secara sintaksis benar. Keamanan bukan merupakan fungsi objektif yang dioptimalkan secara eksplisit. Studi lebih lanjut dari tahun 2024 menunjukkan bahwa model AI cenderung kurang menerapkan pemrograman defensif, mengandung kelemahan yang tidak tampak di permukaan, dan bahkan dalam proses penyempurnaan kode, model dapat memperkenalkan masalah baru pada berkas yang sebelumnya tidak bermasalah.

Analoginya sederhana: seperti mempekerjakan kontraktor bangunan yang sangat cepat menyelesaikan pekerjaan, tetapi tidak pernah membaca peraturan konstruksi yang berlaku. Bangunannya terlihat kokoh dari luar, sampai ada yang menekan dinding yang salah.

Peta Kerentanan yang Paling Sering Muncul

Center for Security and Emerging Technology (CSET) Georgetown University dalam laporan November 2024 mengidentifikasi tiga kategori risiko utama dari model AI code generation: model yang menghasilkan kode tidak aman, model yang rentan terhadap serangan dan manipulasi, serta dampak keamanan siber yang bersifat downstream.

Dalam praktiknya, jenis kerentanan yang paling sering muncul dari kode yang dihasilkan AI meliputi beberapa kategori berikut:

Pertama, SQL Injection — celah klasik yang tetap bertahan. Riset dari Veracode menunjukkan bahwa meskipun model AI memiliki tingkat kelulusan sekitar 80 persen untuk SQL Injection, 20 persen yang tersisa tetap merupakan risiko signifikan bagi aplikasi berbasis database.

Kedua, Cross-Site Scripting (XSS) — ini justru menjadi titik paling lemah. Model AI gagal menghasilkan kode yang aman dari XSS hingga 86 persen kasus, karena tantangannya terletak pada kebutuhan untuk menentukan variabel mana yang memerlukan sanitasi — dan AI tidak memiliki konteks aplikasi yang cukup untuk membuat keputusan tersebut.

Ketiga, Kegagalan Kriptografi — implementasi enkripsi yang tidak tepat. Untuk kategori ini, model AI masih menghasilkan implementasi kriptografi yang tidak aman pada 14 persen kasus, yang berpotensi mengekspos data sensitif.

Keempat, Hardcoded Credentials — kredensial yang tertanam langsung di dalam kode sumber. Ini adalah kerentanan yang mudah dieksploitasi dan sulit terdeteksi saat code review dilakukan secara terburu-buru.

Kelima, Insecure Deserialization — celah yang membuka pintu bagi eksekusi kode arbitrer jika tidak ditangani dengan benar.

Analisis ini sering kami temukan saat melakukan penetration testing pada perusahaan di Indonesia. Pola berulangnya selalu sama: kode yang dihasilkan AI lolos dari proses code review internal karena terlihat logis dan terstruktur dengan baik, tetapi menyimpan kerentanan tersembunyi yang baru terdeteksi saat uji keamanan dilakukan secara menyeluruh.

Masalahnya Bukan AI-nya — Melainkan Cara Kita Mempercayainya

Ini adalah bagian yang paling perlu dibaca dengan cermat.

AI coding tools tidak jahat. Mereka tidak "berniat" menghasilkan kode berbahaya. Masalah sesungguhnya jauh lebih sistemik: ekosistem pengembangan perangkat lunak saat ini membangun budaya dimana output AI diterima dengan sedikit atau tanpa skeptisisme. Ship fast, fix later adalah filosofi yang sudah lama bersemayam di industri ini — dan AI coding assistant hanya mengakselerasi filosofi tersebut ke titik yang lebih ekstrem.

Survei GitHub tahun 2024 mencatat bahwa 97 persen developer telah menggunakan AI tools, dengan banyak organisasi kini sangat bergantung pada teknologi ini untuk rapid prototyping, pengembangan MVP, dan rilis produksi. Ketika hampir semua orang menggunakannya, dan ketika tekanan waktu tetap tinggi, kecenderungan untuk melewati proses validasi keamanan menjadi semakin besar.

Riset CSET juga mengingatkan bahwa model AI code generation rentan terhadap data poisoning attacks — di mana penyerang mencemari data pelatihan model untuk memunculkan perilaku tertentu — serta backdoor attacks yang memaksa model menghasilkan output berbahaya ketika dipicu oleh frasa tertentu. Ini bukan sekadar masalah kualitas kode; ini sudah memasuki wilayah ancaman siber yang lebih serius.

Respons Industri: Nyata atau Sekadar Retorika?

GitHub telah memperkenalkan fitur code scanning yang terintegrasi dengan Copilot. Google mempromosikan keamanan dalam toolchain Gemini-nya. Berbagai vendor keamanan berlomba-lomba meluncurkan solusi AI-aware SAST (Static Application Security Testing).

Langkah-langkah ini tidak bisa diabaikan begitu saja — ada progres nyata di sana. Namun perlu dicermati: sebagian besar inisiatif tersebut bersifat reaktif, bukan preventif. Mereka mencoba mendeteksi kerentanan yang sudah dihasilkan, bukan mencegah model dari menghasilkannya sejak awal.

Studi terbaru bahkan menemukan bahwa proses penyempurnaan atau iterative refinement pada kode AI justru dapat memperkenalkan kerentanan baru — artinya semakin banyak Anda "memperbaiki" kode AI, semakin besar kemungkinan masalah baru ikut masuk. Ini adalah dinamika yang belum sepenuhnya direspons oleh industri dengan solusi yang memadai.

Apa yang Sebenarnya Harus Dilakukan

Ini bukan daftar tips yang bisa dibaca lalu dilupakan. Ini adalah perubahan cara berpikir yang perlu diterapkan secara konsisten di seluruh tim pengembangan.

Pertama, jangan pernah melewati code review hanya karena kodenya dihasilkan AI. Justru sebaliknya — kode yang dihasilkan AI harus mendapat pengawasan yang lebih ketat, bukan lebih longgar. AI tidak memiliki konteks bisnis Anda, tidak memahami arsitektur sistem Anda secara menyeluruh, dan tidak mengetahui regulasi keamanan yang berlaku di industri Anda.

Kedua, integrasikan static analysis tools secara wajib dalam pipeline CI/CD. Tools seperti Semgrep, Snyk, atau SonarQube harus berjalan otomatis sebelum kode apapun — baik yang ditulis manusia maupun AI — masuk ke staging atau production.

Ketiga, sertakan konteks keamanan dalam setiap prompt AI. Alih-alih meminta AI untuk "membuat fungsi login", instruksikan secara eksplisit: "buat fungsi login yang aman dari SQL injection, menggunakan parameterized queries, dan tidak menyimpan password dalam bentuk plaintext." Output yang dihasilkan akan sangat berbeda.

Keempat, lakukan penetration testing secara berkala — terutama pada sistem yang komponen utamanya dihasilkan atau dioptimalkan dengan bantuan AI. Pengujian keamanan bukan aktivitas satu kali; ia adalah proses berkelanjutan yang harus mengikuti ritme pengembangan.

Kelima, ketahui kapan harus tidak menggunakan AI. Untuk logika kriptografi kritis, penanganan data sensitif, atau modul autentikasi inti — pertimbangkan untuk menulis kode tersebut secara manual dengan standar keamanan yang sudah teruji.

Putusan

AI adalah akselerator yang luar biasa. Tidak ada argumen yang cukup kuat untuk menolak penggunaannya secara total — dan memang bukan itu yang perlu dilakukan. Namun menggunakan AI coding tools tanpa protokol keamanan yang ketat sama artinya dengan memasang turbo pada kendaraan yang remnya belum pernah diperiksa.

Kecepatan pengembangan yang meningkat tidak secara otomatis berarti keamanan yang meningkat. Justru sebaliknya — semakin cepat kode ditulis dan dirilis, semakin besar potensi kerentanan yang lolos tanpa terdeteksi. Dan dalam lanskap ancaman siber yang terus berkembang, satu celah kecil yang diabaikan bisa menjadi titik masuk yang jauh lebih mahal dari yang pernah diperkirakan.

Developer yang menyerahkan tanggung jawab keamanan sepenuhnya kepada AI bukan hanya mengambil risiko teknis — mereka bermain judi dengan kepercayaan pengguna, integritas data, dan reputasi organisasi yang dibangun selama bertahun-tahun.

Lindungi Sistem Anda Sebelum Celah Itu Ditemukan Orang Lain

Jika organisasi Anda aktif menggunakan AI dalam proses pengembangan perangkat lunak, ini saat yang tepat untuk memastikan bahwa kecepatan yang Anda capai tidak datang dengan harga keamanan yang terlalu mahal.

Fourtrezz — melalui PT Tiga Pilar Keamanan — adalah perusahaan keamanan siber Indonesia yang berspesialisasi dalam penetration testing dan vulnerability assessment untuk membantu perusahaan mengidentifikasi celah keamanan sebelum dieksploitasi oleh pihak yang tidak bertanggung jawab. Dengan pendekatan yang disesuaikan untuk berbagai skala dan sektor industri, Fourtrezz hadir bukan hanya sebagai vendor, melainkan sebagai mitra keamanan jangka panjang.

Selain layanan keamanan siber, Fourtrezz juga menyediakan layanan IT Development bagi organisasi yang ingin membangun sistem digital dengan fondasi keamanan yang terstruktur sejak awal — bukan ditambal di kemudian hari.

Untuk konsultasi lebih lanjut, hubungi tim Fourtrezz melalui:

• Website: www.fourtrezz.co.id
• WhatsApp/Telepon: +62 857-7771-7243
• Email: [email protected]