Mirip halnya dengan Anda yang mungkin tidak menanam dan menggiling gandum untuk membuat tepung roti, sebagian besar pengembang perangkat lunak juga tidak menulis setiap baris kode dalam proyek baru dari nol. Melakukan hal itu akan sangat lambat dan justru dapat menciptakan lebih banyak masalah keamanan daripada yang diselesaikan. Oleh karena itu, para pengembang memanfaatkan pustaka-pustaka yang sudah ada—seringkali berupa proyek open source—untuk menyiapkan berbagai komponen perangkat lunak dasar.
Meskipun pendekatan ini efisien, hal ini dapat menciptakan eksposur dan kurangnya visibilitas ke dalam perangkat lunak. Namun, belakangan ini, munculnya vibe coding semakin digunakan dengan cara yang serupa, memungkinkan para pengembang untuk dengan cepat membuat kerangka kode yang dapat mereka adaptasi daripada menulisnya dari awal. Namun, para peneliti keamanan memperingatkan bahwa genre baru kode plug-and-play ini justru membuat keamanan rantai pasok perangkat lunak menjadi semakin rumit—dan berbahaya.
“Kita sedang mencapai titik di mana AI akan segera kehilangan masa tenggangnya dalam hal keamanan,” ujar Alex Zenla, Chief Technology Officer dari perusahaan keamanan cloud Edera. “Dan AI adalah musuh terburuknya sendiri dalam hal menghasilkan kode yang tidak aman. Jika AI dilatih sebagian pada perangkat lunak lama, rentan, atau berkualitas rendah yang tersedia di luar sana, maka semua kerentanan yang pernah ada dapat terulang dan diperkenalkan kembali, belum lagi masalah-masalah baru.”
Selain menyerap data pelatihan yang berpotensi tidak aman, realitas dari vibe coding adalah bahwa ia menghasilkan draf kasar kode yang mungkin tidak sepenuhnya memperhitungkan semua konteks spesifik dan pertimbangan seputar suatu produk atau layanan. Dengan kata lain, bahkan jika sebuah perusahaan melatih model lokal pada kode sumber proyek dan deskripsi tujuan dalam bahasa alami, proses produksinya masih bergantung pada kemampuan reviewer manusia untuk menemukan setiap kemungkinan cacat atau ketidaksesuaian dalam kode yang awalnya dihasilkan oleh AI.
“Grup teknikal perlu memikirkan siklus hidup pengembangan di era vibe coding,” kata Eran Kinsbruner, seorang peneliti di perusahaan keamanan aplikasi Checkmarx. “Jika Anda meminta model LLM yang sama persis untuk menulis kode untuk kode sumber spesifik Anda, setiap kali hasilnya akan sedikit berbeda. Satu pengembang dalam tim akan menghasilkan satu keluaran, dan pengembang lain akan mendapatkan keluaran yang berbeda. Jadi hal itu memperkenalkan komplikasi tambahan di luar open source.”
Dalam survei Checkmarx terhadap Chief Information Security Officer, manajer keamanan aplikasi, dan kepala pengembangan, sepertiga responden mengatakan bahwa lebih dari 60 persen kode organisasi mereka dihasilkan oleh AI pada tahun 2024. Tetapi hanya 18 persen responden yang mengatakan bahwa organisasi mereka memiliki daftar alat yang disetujui untuk vibe coding. Checkmarx melakukan jajak pendapat terhadap ribuan profesional dan menerbitkan temuan tersebut pada bulan Agustus—sambil menekankan bahwa pengembangan AI juga membuat semakin sulit untuk melacak ‘kepemilikan’ kode.