Ada developer yang men-deploy aplikasi ke production tanpa benar-benar membaca satu baris pun kodenya. Bukan karena ceroboh. Bukan karena tidak kompeten. Tapi karena AI yang menulisnya — dan ia menekan tombol Accept All tanpa sekalipun membuka diff-nya.

Ini bukan skenario hipotetis. Andrej Karpathy sendiri, saat memperkenalkan istilah vibe coding pada Februari 2025, mendeskripsikan alur kerja di mana developer tidak pernah membuka diff, pesan error langsung di-paste kembali ke AI tanpa komentar, dan tombol Accept All menjadi interaksi utama. Yang menarik: ia menyebutnya untuk konteks prototipe sekali pakai. Tapi industri mengambilnya jauh lebih jauh dari itu.

Ini Bukan Soal Tren — Ini Pergeseran Cara Berpikir

Pada 2025, sebanyak 87% developer enterprise melaporkan bahwa mereka secara rutin menggunakan AI coding assistant dalam pekerjaan sehari-hari. Angka itu bukan sekadar statistik adopsi teknologi. Itu sinyal bahwa cara manusia berhubungan dengan kode sedang berubah secara fundamental.

Vibe coding, sebagai konsep yang diperkenalkan Karpathy, memanfaatkan large language model untuk menghasilkan kode yang dapat dieksekusi hanya dari deskripsi bahasa alami — secara signifikan memperluas akses ke pengembangan perangkat lunak. Dulu, menulis aplikasi membutuhkan pemahaman mendalam tentang sintaks, arsitektur, dan logika. Sekarang, cukup dengan mendeskripsikan apa yang diinginkan, dan mesin yang mengerjakannya.

Ini memang menggoda. Dan untuk sebagian besar kasus penggunaan, ia bekerja dengan sangat baik.

Tapi ada harga yang sedang dibayar — dan tidak semua orang menyadarinya.

Kecepatan yang Nyata, Produktivitas yang Terukur

Sebelum masuk ke persoalan keamanan, penting untuk tidak mengabaikan fakta bahwa vibe coding memang menghasilkan lonjakan produktivitas yang signifikan dan terukur.

Penelitian yang dilakukan Apiiro melalui analisis mendalam terhadap puluhan ribu repositori di perusahaan Fortune 50 antara Desember 2024 hingga Juni 2025 menemukan bahwa developer yang dibantu AI melakukan commit kode tiga hingga empat kali lebih cepat dibandingkan rekan mereka yang tidak menggunakan AI. Kesalahan sintaks dalam kode buatan AI turun 76%, dan bug logika berkurang 60%.

Dari perspektif bisnis, angka-angka ini sulit diabaikan. Tim kecil bisa membangun lebih banyak dalam waktu yang lebih singkat. Prototipe yang dulu membutuhkan berminggu-minggu, kini bisa rampung dalam hitungan hari. Individu non-teknis pun kini dapat membangun aplikasi fungsional melalui vibe coding, memperluas kelompok orang yang mampu menciptakan perangkat lunak.

Namun dibalik angka yang meyakinkan itu, tersembunyi sebuah paradoks yang berbahaya.

Kode yang "Tampak Benar" Belum Tentu Aman

Dalam penelitian yang sama, meski kesalahan sintaks dan bug logika menurun, flaw yang justru berbahaya secara arsitektural meningkat drastis: jalur privilege escalation naik 322%, dan cacat desain arsitektural naik 153%. Ini adalah kelas kerentanan yang paling sulit dideteksi dan paling berpotensi menciptakan kondisi yang dapat dieksploitasi di production.

AI tidak menulis kode yang "aman". AI menulis kode yang terlihat benar secara fungsional.

Laporan Veracode 2025 GenAI Code Security, yang menguji lebih dari 100 large language model pada 80 tugas coding yang melibatkan empat bahasa pemrograman dan empat tipe kerentanan kritis, menemukan bahwa kode yang dihasilkan AI memperkenalkan celah keamanan dalam 45% kasus. Hampir setengah dari seluruh kode buatan AI membawa potensi masalah keamanan yang nyata.

Yang lebih mengkhawatirkan, meskipun model-model AI terus berkembang secara fungsional, tingkat kelulusan uji keamanan tidak mengalami perbaikan signifikan sepanjang pertengahan 2025 — mengindikasikan bahwa tekanan optimasi yang mendorong kemajuan model tidak secara alami sejalan dengan prinsip-prinsip pengkodean yang aman.

Ini bukan bug sementara yang menunggu patch. Ini adalah karakteristik struktural dari cara model bahasa bekerja.

Ketika Data Menjadi Nyata: Kasus yang Sudah Terjadi

Teori kerentanan selalu lebih mudah diabaikan dibandingkan kasus nyata.

Wiz, perusahaan keamanan cloud, memindai 5.600 aplikasi yang dibangun menggunakan pendekatan vibe coding dan menemukan lebih dari 2.000 kerentanan serta 400 rahasia yang terekspos — termasuk API key dan kredensial akses.

Salah satu kasus yang paling mencolok adalah Quittr, sebuah aplikasi pelacak kebiasaan yang dibangun dengan AI coding tools, berhasil meraih pendapatan satu juta dolar dalam sepuluh hari pertama peluncuran. Namun peneliti keamanan kemudian menemukan bahwa database Firebase-nya dapat dibaca oleh siapa saja — artinya data seluruh pengguna dapat diakses tanpa autentikasi. Lebih dari 39.000 pengguna berada dalam kondisi berisiko.

Georgia Tech's Systems Software and Security Lab bahkan meluncurkan proyek khusus bernama Vibe Security Radar pada Mei 2025 untuk melacak kerentanan yang secara langsung dihasilkan oleh AI coding tools dan masuk ke advisory publik seperti CVE.org dan GitHub Advisory Database.

Analisis pola ini sering ditemukan saat melakukan penetration testing pada perusahaan di Indonesia — di mana kode yang dihasilkan AI lolos review internal karena tampak bersih secara fungsional, namun menyimpan celah autentikasi dan manajemen sesi yang kritis. Kode berjalan normal. Sistem tidak crash. Tapi data pelanggan bisa diakses pihak yang tidak berwenang.

Yang Tidak Terlihat: Erosi Kompetensi Secara Diam-Diam

Selain persoalan keamanan teknis, ada dimensi lain yang jarang dibicarakan secara terbuka: apa yang terjadi pada kemampuan developer itu sendiri?

Fenomena cognitive offloading — di mana ketergantungan pada alat eksternal melemahkan kemampuan pemrosesan internal — telah terdokumentasi dengan baik dalam psikologi kognitif. Dalam konteks pendidikan dan profesional, ini memanifestasikan diri sebagai "pembelajaran dangkal," di mana individu mencapai hasil permukaan tanpa benar-benar membangun pemahaman yang kokoh.

Penelitian mengidentifikasi pola di mana developer yang aktif menggunakan vibe coding berhasil menghasilkan aplikasi fungsional namun menunjukkan ketidakmampuan yang mengkhawatirkan untuk menjelaskan, memodifikasi, atau memperluas kode yang mendasarinya.

Analoginya sederhana: seseorang yang selalu bergantung pada GPS untuk navigasi, pada akhirnya, kehilangan kemampuan membaca peta. Kemampuan itu tidak hilang secara dramatis — ia terkikis perlahan, sampai suatu saat dibutuhkan dan tidak ada.

Vibe coding dalam praktiknya berarti menggunakan AI untuk membangun seluruh aplikasi tanpa menulis satu baris kode sendiri. Ketika sesuatu rusak, developer tidak melakukan debugging — mereka terus bertanya pada AI sampai terasa benar. Bagi developer senior dengan fondasi yang kuat, pendekatan ini mungkin tidak berbahaya. Tapi bagi developer junior yang melewatkan fase "berjuang memahami" yang justru membentuk intuisi teknis, ini adalah masalah jangka panjang yang tidak akan terlihat sampai sistem penting mulai kolaps.

Menjawab Kontra-Argumen dengan Jujur

Ada beberapa argumen yang sering muncul sebagai pembelaan terhadap vibe coding, dan semuanya perlu dijawab secara adil.

"Toh developer senior tetap mereview kodenya." Dalam teori, ya. Dalam praktik, penelitian menunjukkan sebaliknya. Ketika kode diproduksi tiga hingga empat kali lebih cepat, tekanan untuk mereview setiap baris dengan kedalaman yang sama meningkat secara proporsional. Review yang terburu-buru adalah review yang melewatkan hal-hal penting — terutama kerentanan arsitektural yang membutuhkan pemahaman konteks mendalam untuk dideteksi.

"Ini sama seperti resistensi terhadap compiler atau framework dulu." Analogi ini populer tapi tidak sepenuhnya akurat. Compiler dan framework mengotomatisasi tugas mekanis yang terdefinisi dengan baik. Mereka tidak membuat keputusan keamanan arsitektural. AI coding tools melakukan keduanya — dan itulah yang menciptakan risiko baru yang tidak ada presedennya dalam transisi teknologi sebelumnya.

"AI akan terus berkembang dan menjadi lebih aman." Data dari Veracode justru menunjukkan bahwa tingkat keamanan kode AI tidak membaik meski model terus diperbarui — mengindikasikan bahwa keamanan bukan prioritas utama dalam siklus pengembangan model saat ini. Menunggu AI menjadi aman secara otomatis adalah strategi yang berisiko untuk infrastruktur yang sudah berjalan di production hari ini.

Masa Depan Developer: Bukan Punah, Tapi Bermutasi

Pertanyaan apakah developer akan digantikan AI adalah pertanyaan yang salah.

Karpathy sendiri menegaskan bahwa pemahaman tetap menjadi bottleneck yang sesungguhnya. "Saya masih harus memasukkan informasi ke dalam otak saya. Bagaimana saya mengarahkan agen-agen ini? Itu masih dibatasi oleh pemahaman." Bahkan pencetus istilah vibe coding mengakui bahwa manusia yang mampu memahami sistem secara mendalam adalah yang akan bertahan dan relevan.

Yang berubah adalah komposisi nilai. Developer yang berpikir dalam kerangka sistem, memahami implikasi keamanan, dan mampu mengarahkan AI dengan spesifikasi yang tepat akan semakin dicari. Developer yang hanya bisa menekan Accept All dan berharap semuanya berjalan baik akan semakin rentan.

Riset akademis menyarankan bahwa masa depan pengembangan perangkat lunak membutuhkan pengawasan manusia yang kuat untuk memastikan reliabilitas — bukan menghilangkan peran manusia, melainkan mengangkat standar peran tersebut.

Posisi yang Perlu Ditegaskan

Vibe coding bukan musuh. Blind trust terhadapnya yang berbahaya.

AI adalah junior developer yang sangat produktif: cepat, tidak pernah lelah, tapi membutuhkan pengawasan dari seseorang yang benar-benar memahami apa yang sedang dibangun. Saat AI diperlakukan sebagai arsitek sistem — bukan sebagai pelaksana yang perlu diarahkan — itulah saat kerentanan mulai terakumulasi tanpa terlihat.

Yang perlu dibangun industri bukan sekadar tools baru yang lebih pintar. Yang dibutuhkan adalah standar review yang disesuaikan untuk kode yang dihasilkan AI, budaya keamanan yang tidak dikompromikan demi kecepatan rilis, dan developer yang tetap mempertahankan kemampuan berpikir kritis terhadap output yang dihasilkan mesin.

Kecepatan adalah nilai. Keamanan adalah fondasi. Keduanya tidak harus saling mengorbankan — tapi hanya jika pendekatannya disengaja dan terstruktur.

Amankan Sistem Anda Sebelum Terlambat

Jika organisasi Anda sedang mengadopsi AI coding tools atau telah men-deploy aplikasi yang dikembangkan dengan pendekatan vibe coding, pertanyaan terpentingnya bukan "apakah kodenya berfungsi?" — melainkan "apakah kodenya aman?"

Fourtrezz (PT Tiga Pilar Keamanan) adalah perusahaan keamanan siber Indonesia yang menyediakan layanan Penetration Testing, Vulnerability Assessment, dan Garda Siber untuk membantu organisasi mengidentifikasi dan menutup celah keamanan — termasuk yang berasal dari kode yang dihasilkan AI. Selain itu, Fourtrezz juga menyediakan layanan IT Development bagi perusahaan yang membutuhkan pengembangan sistem dengan standar keamanan yang terukur sejak awal, bukan setelah insiden terjadi.

Tim Fourtrezz berpengalaman dalam menemukan kerentanan yang tidak terdeteksi oleh review internal biasa — mulai dari celah autentikasi, manajemen sesi yang lemah, hingga kerentanan arsitektural yang sering luput dari proses pengembangan berbasis AI.

Hubungi Fourtrezz untuk konsultasi dan mulai lindungi infrastruktur digital Anda:

🌐 www.fourtrezz.co.id 📞 +62 857-7771-7243 📧 [email protected]

Pertanyaannya bukan apakah Anda menggunakan AI untuk coding. Pertanyaannya: kalau AI-nya salah, Anda masih bisa menangkapnya — atau Anda sudah terlalu nyaman untuk memeriksa?