Asisten pengkodean berbasis kecerdasan buatan (AI) sudah menyebar di tim pengembangan lebih cepat daripada kerangka keamanan yang bisa beradaptasi. Menurut penelitian terbaru dari Salt Security, 90% pemimpin keamanan mengungkapkan kekhawatiran aktif terkait risiko yang ditimbulkan oleh perangkat lunak yang dihasilkan oleh AI.
Meskipun begitu, banyak organisasi tetap menggunakan alat AI ini karena bisa mempercepat tugas pengkodean, mengurangi waktu yang dihabiskan untuk pekerjaan repetitif, dan meningkatkan kecepatan pengiriman perangkat lunak.
Tinjauan manusia tidak mampu menangani kecepatan AI
Pemimpin keamanan percaya bahwa praktik pengembangan yang dirancang sebelum AI menjadi populer mungkin sudah tidak memberikan pengawasan yang memadai. Hampir sepertiga (29%) responden mengidentifikasi pola pengkodean yang tidak aman sebagai risiko utama yang diperkenalkan oleh asisten AI.
Sistem-sistem ini mempelajari dari kumpulan data pelatihan besar yang mengandung cacat dan praktik usang. Alat AI bisa menghasilkan kode yang tampak sepenuhnya berfungsi, padahal tanpa disadari mereproduksi kerentanan yang mungkin bisa ditangkap oleh manusia.
Masalah ini mirip dengan cara perangkat lunak antivirus harus terus memperbarui definisi mereka karena ancaman baru muncul lebih cepat daripada database tanda tangan bisa berkembang. Bedanya, tidak ada otoritas pusat yang melacak setiap pola yang tidak aman yang mungkin direplikasi oleh AI. Meskipun ada kecemasan luas terkait dengan pengenalan AI, lebih dari sepertiga organisasi masih mengandalkan tinjauan kode manual sebelum peluncuran.
Ketergantungan pada pemeriksaan manusia menjadi bermasalah secara struktural ketika AI menghasilkan kode dalam jumlah yang tidak mungkin untuk diperiksa secara menyeluruh oleh tim mana pun. Metode ini berhasil ketika pengembang menulis perangkat lunak dengan kecepatan manusia, tetapi gagal ketika AI mempercepat output secara dramatis. Keletihan reviewer dengan cepat muncul, tim menerapkan standar secara tidak konsisten, dan persyaratan keamanan ditafsirkan dengan cara yang berbeda di berbagai departemen.
Asisten pengkodean AI secara fundamental mengubah cara perangkat lunak dibangun, tetapi pengaturannya tidak mengikuti perkembangan.” kata Roey Eliyahu, CEO dan co-founder di Salt Security. “Sebagian besar organisasi menyadari risikonya, tetapi banyak yang masih mencoba mengelola kode yang dihasilkan AI dengan proses keamanan yang dirancang untuk dunia sebelum AI.” Pendekatan ini tidak dapat berskala lebih baik dibandingkan dengan menggunakan satu kotak masuk email untuk menangani jutaan pesan harian tanpa penyaringan atau otomatisasi.
Kekompleksan perusahaan membuat penegakan lebih sulit
Organisasi besar dengan lebih dari 500 karyawan menghadapi tantangan pengaturan yang tidak dijumpai oleh perusahaan kecil. Tim yang tersebar menggunakan berbagai alat, mengikuti alur kerja yang berbeda, dan menerapkan standar keamanan dengan ketelitian yang tidak konsisten di seluruh wilayah.
Risiko ketergantungan berlebihan pengembang pada asisten AI tumbuh sebanding dengan ukuran tim dan tekanan pengiriman. Badan keamanan, termasuk lembaga siber pemerintah, sebelumnya telah memperingatkan bahwa sistem AI memperluas permukaan serangan dan secara signifikan mempersulit struktur akuntabilitas.
Tanpa visi yang lebih baik tentang di mana kode yang dihasilkan AI masuk ke dalam jalur produksi, pengaturan tetap menjadi teka-teki yang dibalut sebagai proses. Menganggap asisten pengkodean AI sebagai komponen dari rantai pasokan perangkat lunak — mirip dengan memeriksa risiko malware dari pihak ketiga — menawarkan jalur ke depan yang lebih realistis daripada mengharapkan tinjauan manual dapat mengimbangi.
