JBNews.id — Kemudahan membuat aplikasi dengan bantuan kecerdasan buatan, yang dikenal sebagai vibe coding, membawa risiko keamanan serius. Sebuah laporan mengungkap bahwa ribuan aplikasi yang dibuat dengan metode ini rentan terhadap kebocoran data sensitif, mulai dari informasi medis hingga catatan keuangan.
Fenomena ini muncul seiring dengan maraknya penggunaan AI untuk membuat aplikasi pribadi. Bob Starr, seorang manajer proyek di sektor teknologi, menjadi salah satu contoh nyata. Ia membuat situs bernama “Boomberg” untuk melacak pengeluaran pajak AS. Namun, berbulan-bulan setelah situs itu aktif, ia baru menyadari adanya kerentanan SQL injection yang dapat memungkinkan peretas mengakses data. “Itu adalah kelalaian yang mencolok dari pihak saya,” ujar Starr.
Kisah Starr bukanlah kasus terisolasi. Di media sosial, banyak cerita tentang aplikasi hasil vibe coding yang penuh celah keamanan. Jer Crane, pendiri PocketOS, melaporkan bahwa agen coding AI-nya menghapus database produksi perusahaannya. Joe Procopio, seorang pengusaha, terpaksa menurunkan aplikasi web buatannya setelah diretas. “Sekarang saya melakukan demo dengan cara lama, dari mesin lokal saya melalui Zoom,” tulisnya.
Bahaya Tersembunyi di Balik Kemudahan
Gabriel Bernadett-Shapiro, ilmuwan riset AI terkemuka dari SentinelOne, menekankan bahwa vibe coding pada dasarnya bukanlah hal yang buruk. Bahkan, ia menyebut kemampuan amatir untuk membangun perangkat lunak sebagai sisi positif. Bahaya muncul ketika aplikasi pribadi bergeser menjadi perangkat lunak bisnis yang menyimpan data bersama tanpa disadari.
“Aplikasi yang menyentuh data pribadi orang lain harus dipegang dengan standar yang berbeda,” tegas Bernadett-Shapiro. Ia mencontohkan aplikasi untuk melacak sakit kepala atau paket berbeda dengan aplikasi yang menangani catatan pasien, data keuangan, atau dokumen internal.
Jack Cable, CEO Corridor, setuju dengan pandangan ini. Ia mengatakan vibe coding sangat cocok untuk hal-hal berisiko rendah seperti prototipe atau pelacak kebugaran. Namun, catatan keuangan dan aplikasi yang terhubung ke internet publik memerlukan pengawasan lebih ketat. “Pikirkan tentang model ancaman yang ada,” ujar Cable.
Baca Juga:
Kerentanan yang Terus Ditemukan
Kasus yang lebih mengkhawatirkan terjadi pada akhir Januari lalu. Seorang pengembang bernama Matt Schlicht meluncurkan jejaring sosial bernama Moltbook, yang dibangun sepenuhnya untuk agen AI tanpa menulis satu baris kode pun. Dalam hitungan hari, peneliti keamanan dari Wiz menemukan database produksi aplikasi itu terbuka lebar, mengekspos puluhan ribu alamat email dan pesan pribadi.
Peneliti dari Red Access menemukan sekitar 5.000 aplikasi publik yang dibangun dengan alat vibe coding populer tanpa autentikasi. Hampir 2.000 di antaranya diduga membocorkan data sensitif seperti informasi medis dan keuangan, dokumen strategi, hingga log percakapan chatbot. Perbandingan dengan perangkat lunak profesional yang sudah ada sebelumnya pun tidak relevan, karena jumlah risiko keamanan juga meningkat secara eksponensial seiring dengan jumlah aplikasi yang diproduksi.
Kurangnya Kesadaran Keamanan
Salah satu masalah utama adalah rasa percaya diri yang berlebihan. Ketika alat AI mengatakan kode aman, pengembang pemula cenderung langsung percaya. Dalam sesi vibe coding normal, tidak ada yang berhenti untuk memeriksa keamanan secara otomatis kecuali pengguna telah menginstal alat tertentu. Sebagian besar pembuat kode kasual tidak melakukan hal ini.
Claude Code memiliki perintah /security-review yang memindai kerentanan, tetapi pengguna harus memintanya secara manual. OpenAI memiliki agen keamanan bawaan, Codex Security, yang memindai commit saat masuk, tetapi ini ditujukan untuk pengembang dengan alur kerja kontrol versi yang ketat. Bagi pengguna biasa, pesannya sederhana: Anda harus meminta keamanan sejak awal pembuatan.
Bernadett-Shapiro mengatakan kekhawatiran terbesarnya bukanlah kode AI yang bermasalah, melainkan kurangnya autentikasi. Ini terjadi ketika pengembang memindahkan aplikasi yang berjalan di komputer lokal ke cloud dengan banyak opsi konfigurasi yang tidak mereka pahami. “Aplikasi yang berjalan dengan baik secara lokal, ketika diletakkan di cloud, bisa seperti meninggalkan kotak rahasia di trotoar,” ujarnya.
Alat Keamanan yang Mulai Bermunculan
Beberapa infrastruktur keamanan mulai tersedia. OWASP telah menerbitkan standar verifikasi keamanan AI untuk organisasi. Perusahaan seperti Trail of Bits mulai merilis “skills” atau paket instruksi yang mengarahkan agen coding pada tugas keamanan spesifik, seperti menandai pengaturan default yang tidak aman. Namun, skills ini harus dipicu secara khusus dan sulit diperbarui secara sinkron.
Selain itu, skills bisa menjadi pedang bermata dua karena skills berbahaya juga ada. Pada bulan Februari, Jason Meller dari 1Password menemukan bahwa skill paling populer di registry OpenClaw mengarahkan pengguna untuk menginstal dependensi yang ternyata berbahaya. “Ini masih alam liar di luar sana,” ujarnya.
Dampak di Perusahaan Besar
Potensi aplikasi vibe coding yang tidak aman tidak terbatas pada penggemar saja. Cable mengatakan para insinyur dan bahkan tim penjualan serta pemasaran di perusahaan besar kini mengirimkan lebih banyak kode yang ditulis agen AI. Tim keamanan perlu memiliki visibilitas dasar tentang bagaimana agen tersebut digunakan, serta pagar pembatas yang ditegakkan.
Bagi individu, panduan Cable lebih sederhana: model yang berjalan secara lokal di komputer pribadi jauh lebih aman daripada model yang dibuat publik, terutama jika berisi data sensitif. “Secara harfiah dalam semalam, cara sebagian besar perusahaan memproduksi perangkat lunak telah berubah total,” kata Cable.
Pendekatan Bijak: Studi Kasus Jeff Rothblum
Jeff Rothblum, spesialis urusan pemerintahan, menjadi contoh pendekatan yang bijak. Ia membuat aplikasi untuk menangani entri data yang membosankan dengan mempertimbangkan keamanan. Ia memikirkan informasi apa yang disimpan aplikasi, seberapa sensitif, dan apa yang bisa terjadi jika bocor. “Terakhir kali saya menulis kode mungkin tahun 2006 saat kuliah,” ujar Rothblum.
Ia mengurangi risiko dengan menjalankan tinjauan keamanan rutin di Claude, menyimpan data pengguna secara lokal, dan membangun aplikasi untuk menghapus browser. Ia juga berencana membayar insinyur keamanan profesional untuk meninjau kode jika bekerja dengan data yang lebih sensitif. “Saya senang dengan open-source dan hal-hal sementara, tetapi yang lainnya membuat saya takut,” katanya.
Memiliki ahli manusia untuk meninjau kode memang ideal, tetapi Cable mengatakan ini menjadi hambatan. Pertanyaan terbuka sekarang adalah bagaimana dunia akan terlihat ketika sebagian besar kode dikirim tanpa ada manusia yang membacanya. Untuk saat ini, jawabannya lebih sederhana: buat aplikasi impian Anda dengan vibe coding, tetapi pikirkan data yang disimpan dan apa yang bisa salah. Minta aplikasi dibangun dengan keamanan, jalankan tinjauan kode setelah setiap perubahan, dan perhatikan ekstra sebelum memindahkannya ke cloud.
Perbedaan antara proyek yang menyenangkan dan kisah horor dimulai dengan mengetahui pertanyaan apa yang harus diajukan. Di era di mana Fitur Terbaru dan Threads Tembus 500 juta pengguna, kesadaran keamanan menjadi semakin krusial.
