Koding AI Kini Arus Utama — Tapi Tata Kelola Keamanannya Tertinggal

Di antara responden Salt, 29% menyebut pola koding tidak aman sebagai risiko utama, sementara 15% mengatakan kekhawatiran utama adalah ketidakselarasan dengan kebijakan keamanan internal . Kedua ketakutan itu berasal dari akar penyebab yang sama: asisten koding AI dilatih menggunakan kode publik, bukan pada kebijakan keamanan, kerangka kerja industri, atau persyaratan kepatuhan spesifik organisasi mana pun .

Security Drift: Ketika Tidak Ada yang Sadar Apa yang Dikirim

Laporan itu memperkenalkan "security drift" sebagai mekanisme yang mengubah paradoks adopsi menjadi paparan nyata. Idenya sederhana. Sebuah organisasi menulis aturan keamanannya di wiki, PDF, dan pengetahuan suku yang belum pernah dibaca oleh asisten AI. Asisten itu menghasilkan kode yang secara sintaksis benar dan berguna secara fungsional, tetapi secara diam-diam melanggar kebijakan internal itu. Tidak ada yang menyadarinya karena proses peninjauan tidak dapat mengimbangi .

Itu membawa Salt ke salah satu temuannya yang paling dapat ditindaklanjuti — dan mengkhawatirkan — tentang tata kelola. 38% organisasi masih terutama mengandalkan peninjauan kode manual untuk menangani output dari asisten koding AI. Volume kode buatan AI telah melampaui apa yang dapat diperiksa secara bermakna oleh peninjau manusia, dan proyeksi Salt untuk tahun 2027 menunjukkan bahwa jurang itu hanya akan melebar . Hanya sebagian kecil organisasi yang telah mengintegrasikan pagar pembatas keamanan otomatis ke dalam alur kerja koding AI mereka .

Roey Eliyahu, CEO Salt Security, meringkas situasi dengan blak-blakan: tata kelola telah gagal mengimbangi bagaimana asisten koding AI telah mengubah pengembangan perangkat lunak . Perkakas analisis statis dan dinamis tradisional (SAST/DAST) menangkap masalah terlambat di jalur pipa, ketika setiap perbaikan menjadi penulisan ulang dan setiap penulisan ulang adalah penundaan .

Kesenjangan Persepsi METR: Terasa Lebih Cepat Padahal Lebih Lambat

Tata kelola keamanan bukanlah satu-satunya area di mana persepsi dan realitas telah menyimpang. Laporan Salt menyoroti temuan dari studi eksternal yang telah menjadi titik acuan dalam perdebatan perkakas pengembang: uji coba acak terkontrol METR yang diterbitkan pada Juli 2025 .

Studi itu menempatkan 16 pengembang sumber terbuka berpengalaman melalui 246 tugas dunia nyata pada repositori matang mereka sendiri — basis kode dengan rata-rata lebih dari satu juta baris dan puluhan ribu bintang GitHub. Peserta secara acak ditugaskan untuk menggunakan perkakas AI (terutama Cursor Pro dengan Claude 3.5/3.7 Sonnet) atau bekerja tanpanya .

Hasil utamanya telah begitu sering dikutip sehingga berisiko menjadi kebisingan latar, tetapi angkanya tetap mencolok. Pengembang yang menggunakan AI menyelesaikan tugas 19% lebih lambat daripada mereka yang bekerja tanpa bantuan AI sama sekali. Sebelum uji coba, pengembang yang sama memperkirakan AI akan membuat mereka 24% lebih cepat. Setelah menyelesaikan tugas mereka, mereka memperkirakan perkakas itu telah membuat mereka kira-kira 20% lebih cepat — meskipun pengukuran objektif menunjukkan mereka lebih lambat. Kesenjangan antara produktivitas yang dirasakan dan aktual melebihi 39 poin persentase .

Temuan METR tidak berarti perkakas AI tidak berguna — konteks sangat berpengaruh. Keuntungan telah diamati dalam skenario orientasi anggota baru, generasi kode boilerplate rutin, dan tugas-tugas di mana pengembang kurang akrab dengan basis kode. Tetapi untuk insinyur berpengalaman yang mengerjakan tugas-tugas kompleks dan bergantung pada basis kode, bukti menunjukkan perkakas itu dapat memperkenalkan friksi yang tidak disadari secara sadar oleh pengembang .

Salt Code: Menegakkan Aturan di Prompt, Bukan di Jalur Pipa

Salt mengatur waktu rilis risetnya bersamaan dengan peluncuran produk yang dirancang untuk mengatasi kesenjangan tata kelola yang diidentifikasi oleh laporan tersebut. Pada 1 Juni 2026, perusahaan memperkenalkan Salt Code, sebuah komponen baru dari Agentic Security Platform-nya .

Pendekatan Salt Code adalah menghentikan security drift sebelum dimulai. Alih-alih memindai kode buatan AI setelah faktanya, ia menegakkan aturan keamanan dan kepatuhan internal organisasi langsung di dalam asisten koding AI pada saat generasi kode. Produk ini bekerja di berbagai perkakas utama yang sedang distandardisasi oleh perusahaan: Claude Code, Cursor, GitHub Copilot, Windsurf, Codex, dan Gemini CLI .

Tujuannya adalah menjadikan kode yang patuh kebijakan sebagai output default, bukan sesuatu yang membutuhkan pemindaian dan penulisan ulang di hilir. Untuk tim keamanan, ini menyediakan satu lapisan kebijakan di seluruh pembuatan kode, pemeriksaan jalur pipa, dan pemantauan runtime — sebuah pergeseran dari menangkap kesalahan menjadi mencegahnya .

Apakah Salt Code atau perkakas serupa akan menutup kesenjangan tata kelola pada kecepatan yang diminta oleh adopsi AI masih menjadi pertanyaan terbuka. Tapi arah perjalanannya jelas. Jika proyeksi itu bertahan — bahwa AI akan menulis lebih dari setengah dari semua kode enterprise dalam delapan belas bulan — maka kebijakan keamanan harus bergerak dari tahap peninjauan menjadi pengaturan default. Alternatifnya, seperti yang diperingatkan oleh laporan Salt, adalah security drift pada skala industri.