Pernahkah Anda membayangkan proyek perangkat lunak yang Anda gunakan justru berisi lubang keamanan yang diciptakan oleh AI? Ternyata, tren 'vibe coding' yang sedang digandrungi pengembang justru menjadi jalan tol bagi munculnya celah keamanan baru yang berbahaya.
Belakangan ini, tren vibe coding—di mana pengembang menyerahkan penulisan kode proyek secara penuh kepada AI—sedang naik daun. Namun, ada kabar kurang sedap dari dunia keamanan siber. Menurut laporan dari Infosecurity Magazine, para peneliti dari Systems Software & Security Lab (SSLab) Georgia Tech menemukan fakta mengejutkan: ada lonjakan drastis pada jumlah kerentanan keamanan atau Common Vulnerabilities and Exposures (CVE) yang disebabkan langsung oleh kode buatan AI. Jika pada Januari 2026 hanya ada enam kasus yang tercatat, angka tersebut melonjak tajam hingga 35 kasus hanya di bulan Maret 2026.
Melacak Jejak AI di Balik Kode
Untuk mengungkap fenomena ini, tim peneliti menciptakan proyek yang disebut 'Vibe Security Radar'. Mereka tidak hanya menebak-nebak, tapi melakukan investigasi mendalam dengan melacak data dari berbagai database keamanan dunia seperti NVD dan GitHub. Hanqing Zhao, sosok di balik radar ini, menekankan bahwa tracking ini sangat penting karena banyak orang yang saat ini nekat memasukkan hasil coding AI langsung ke tahap production tanpa pemeriksaan yang ketat. "Semua orang bilang AI tidak aman, tapi tidak ada yang benar-benar melacaknya. Kami ingin angka yang nyata," ujar Zhao.
Mengapa AI Bisa Menjadi Bumerang?
Metode yang digunakan tim Georgia Tech pun sangat canggih. Mereka tidak hanya mengandalkan pola, tapi menggunakan agen AI untuk meneliti repositori Git serta riwayat commit guna memahami akar masalah dari tiap celah keamanan yang ditemukan. Dari sekitar 50 alat bantu coding yang dipantau—termasuk Claude Code, GitHub Copilot, Cursor, Devin, hingga Amazon Q—ditemukan bahwa beberapa alat memang lebih mudah dilacak karena selalu meninggalkan 'tanda tangan' digital pada kode yang dihasilkan. Baca selengkapnya di sini.
Gunung Es di Balik Data
Zhao memperingatkan bahwa angka yang tercatat di Vibe Security Radar hanyalah puncak gunung es. Banyak pengembang yang sengaja menghapus metadata AI dari kode mereka, atau menggunakan alat seperti Copilot yang tidak meninggalkan jejak sama sekali, sehingga kerentanan yang sebenarnya bisa mencapai 5 hingga 10 kali lipat dari yang terdeteksi. Beberapa proyek open-source populer bahkan diduga sangat bergantung pada vibe coding, namun sulit untuk membuktikan kontribusi AI secara teknis karena jejak digitalnya telah disamarkan.
Apa Langkah Kita Selanjutnya?
Ke depannya, para peneliti berencana mengembangkan model yang dapat mengenali 'gaya' penulisan kode khas AI tanpa bergantung pada metadata atau tag co-author. Hal ini menjadi pengingat keras bagi tim pengembang bahwa secanggih apa pun AI, mereka tidak bisa menggantikan code review manusia secara utuh. Jika separuh dari codebase Anda dihasilkan oleh mesin, bagaimana Anda bisa menjamin keamanan sistem Anda di masa depan?
"Realistically, even teams that do code review aren't going to catch everything when half the codebase is machine-generated." — Hanqing Zhao, founder of the Vibe Security Radar.
Sumber berita https://www.infosecurity-magazine.com/news/ai-generated-code-vulnerabilities/
Diskusi (0)
Belum ada komentar
Jadilah yang pertama memulai diskusi!