Paradoks Kode AI: 97% Tim Pengembang Sudah Pakai, Tapi Hanya 30% yang Awasi dengan Benar

• Review kode manual (52%) — para peninjau sekarang memproses volume kode buatan AI yang lebih besar daripada kode tulisan manusia, dan volumenya terus bertambah .
• Pengujian keamanan (51%) — kode buatan AI memperkenalkan kelas kerentanan baru yang tidak ada pada kode tulisan tangan, terutama seputar injeksi dependensi, kunci rahasia yang tertanam langsung (hardcoded secrets), dan rekomendasi pustaka usang .
• Pengerjaan ulang kode buatan AI (48%) — hampir setengah tim melaporkan menghabiskan waktu signifikan untuk memperbaiki, merestrukturisasi, atau menulis ulang keluaran AI sebelum bisa dikirim .

Pola ini sekarang punya nama: pergeseran pekerjaan rutin (toil shift). Alih-alih menghilangkan pekerjaan, AI memindahkannya dari fase pembuatan ke fase verifikasi, pengujian, dan remediasi . Pernyataan Black Duck sangat lugas: "sebagian besar organisasi memproduksi kode buatan AI lebih cepat daripada kemampuan mereka untuk meninjau, mengamankan, atau mengaturnya" .

Tata Kelola: Pengganda ROI yang Sesungguhnya

Jika ada satu temuan dari laporan itu yang harus ditindaklanjuti oleh para pemimpin engineering, inilah dia: tata kelola adalah pengganda ROI . Perbedaan antara tim yang mengatur penggunaan AI dan yang tidak, bukanlah perbedaan yang kecil — ini adalah perbedaan antara meraup keuntungan efisiensi dan melihatnya bocor keluar.

Black Duck menemukan bahwa organisasi dengan kerangka tata kelola penuh melaporkan 90% peningkatan efisiensi besar dari alat coding AI. Tim tanpa pengawasan terstruktur? Angkanya turun menjadi 44% .

Tata kelola dalam konteks ini bukan berarti birokrasi. Ini berarti memiliki kebijakan yang jelas tentang alat apa yang digunakan, bagaimana kode AI ditinjau, gerbang keamanan apa yang harus dilewati, dan siapa yang bertanggung jawab atas keluarannya. Ini adalah perbedaan antara "pengembang bebas menggunakan apa saja" dan "pengembang menggunakan alat yang disetujui dalam alur kerja yang terstruktur dan dapat diaudit."

Masalah Shadow AI

Yang memperumit tata kelola adalah maraknya Shadow AI — pengembang yang menggunakan alat AI yang bertentangan atau di luar kebijakan perusahaan. Black Duck menemukan bahwa 18% organisasi melaporkan shadow AI sebagai risiko tidak terkelola yang signifikan . Ketika alat seperti Cursor, Windsurf, atau Claude Code diadopsi di level pengembang individu tanpa melalui proses pengadaan atau tinjauan keamanan, organisasi kehilangan visibilitas terhadap permukaan serangannya .

Risiko Rantai Pasok: Apa yang Diwarisi Kode Buatan AI

Implikasi rantai pasok adalah tempat di mana kesenjangan tata kelola menjadi kerentanan yang nyata. Pekerjaan Black Duck — termasuk laporan 2026 OSSRA-nya — mengungkap tiga risiko yang saling terkait dan khusus untuk asisten coding AI:

Pencucian lisensi (license laundering). Asisten AI yang dilatih pada repositori sumber terbuka dapat menghasilkan potongan kode dari sumber copyleft tanpa menyimpan informasi lisensi aslinya . Laporan OSSRA 2026 menemukan bahwa dua pertiga basis kode yang diaudit mengandung konflik lisensi — tingkat tertinggi dalam sejarah laporan itu . Organisasi mungkin mengirimkan kode yang tidak berhak mereka gunakan, tanpa menyadarinya.

Ledakan dependensi. Komponen sumber terbuka per basis kode naik 30% dari tahun ke tahun, dan rata-rata kerentanan per basis kode melonjak 107% . Asisten coding AI mempercepat tren ini karena mereka menyusun solusi lebih cepat dari korpus pelatihan yang lebih luas — artinya setiap fungsi buatan AI dapat menarik dependensi yang tidak secara eksplisit dipilih oleh pengembang.

Kesenjangan kepatuhan. Hanya 24% organisasi yang melakukan evaluasi menyeluruh terhadap IP, lisensi, keamanan, dan kualitas kode buatan AI . Itu berarti tiga perempat organisasi tidak dapat menjawab pertanyaan dengan andal: "Kewajiban hukum dan keamanan apa yang baru saja kita sepakati?"

Kepercayaan Pengembang: Adopsi Naik Sementara Keyakinan Turun

Temuan Black Duck tidak berdiri sendiri. Beberapa survei independen yang diterbitkan sekitar periode yang sama memperkuat dan memperluas gambaran kepercayaan dengan data yang lebih terperinci:

• Survei State of Code Developer 2026 dari Sonar (lebih dari 1.100 pengembang) menemukan bahwa 96% pengembang tidak sepenuhnya memercayai akurasi fungsional kode buatan AI . Namun hanya 48% yang selalu memverifikasinya sebelum melakukan commit — artinya kode yang tidak dipercayai oleh pengembangnya sendiri secara teratur dikirim ke produksi .
• Survei Pengembang Stack Overflow 2025 (49.009 responden) menunjukkan kepercayaan pada akurasi AI turun dari 40% menjadi 29% dalam satu tahun. Ketidakpercayaan aktif naik menjadi 46%, sementara persepsi positif turun dari 72% menjadi 60% .
• Laporan State of AI-Driven Software Releases 2026 dari Harness (500 pemimpin engineering) menemukan 57% masih memerlukan tinjauan manusia (human-in-the-loop) untuk setiap baris kode AI, dan 29% menghabiskan lebih banyak waktu untuk peninjauan kode sekarang dibanding sebelum mengadopsi asisten AI .

Konsensus di seluruh survei ini sangat konsisten: pengembang tidak dapat bekerja tanpa alat AI, tetapi mereka juga tidak dapat sepenuhnya memercayainya. Kesenjangan antara pembuatan dan verifikasi telah menjadi hambatan baru.

Diana Kelley, CISO di Noma Security, menangkap ketegangan intinya: "Kode yang lebih cepat bukan berarti kode yang lebih aman" .

Seperti Apa Tata Kelola yang Sebenarnya

Resep Black Duck bukanlah sesuatu yang abstrak. Laporan itu menunjuk pada serangkaian langkah konkret yang membedakan 30% yang memiliki tata kelola penuh dari yang lain:

1. Kerangka tata kelola AI yang terstruktur — bukan panduan informal, tetapi kebijakan yang terdokumentasi dan ditegakkan yang mencakup persetujuan alat, tinjauan keluaran, dan akuntabilitas .
2. Gerbang tinjauan yang terintegrasi dalam alur kerja — beralih dari serah-terima antrian pengujian keamanan manual, yang masih digunakan oleh 46% perusahaan, menuju pemeriksaan kualitas dan keamanan otomatis yang berjalan pada setiap commit berbantuan AI .
3. Pemantauan berkelanjutan pasca-penerapan — Black Duck mencatat bahwa "strategi shift-left saja tidak lagi cukup" karena risiko diperkenalkan, ditemukan, dan harus dikelola di seluruh siklus hidup pengembangan perangkat lunak .
4. Rasionalisasi rantai alat keamanan — lebih dari 71% responden melaporkan proliferasi alat (tool sprawl) sebagai sumber friksi utama, dan konsolidasi ke alat yang lebih sedikit dan terintegrasi lebih baik adalah prasyarat untuk menskalakan AI dengan aman .

Intinya

Laporan Black Duck tidak berargumen menentang penggunaan asisten coding AI. Laporan itu berargumen bahwa menggunakannya tanpa tata kelola yang sepadan adalah tindakan yang kontraproduktif. Ketika 97% tim menghasilkan kode dengan kecepatan yang belum pernah terjadi sebelumnya tetapi hanya 30% yang memiliki infrastruktur pengawasan untuk mengelolanya, industri ini secara kolektif sedang menulis cek yang tidak bisa dicairkan.

Korelasi antara tata kelola dan keuntungan efisiensi — 90% berbanding 44% — membuat argumen bisnis menjadi tidak ambigu. Organisasi yang membangun pagar pengaman terlebih dahulu akan menuai produktivitas yang dijanjikan AI. Mereka yang tidak, akan berulang kali menemukan bahwa waktu yang dihemat di depan keyboard akhirnya habis di antrian tinjauan.