Hari Senin, 30 Maret 2026, jam 2 pagi waktu Pacific — seorang developer bernama Zach Manson menemukan sesuatu yang bikin dia langsung screenshot dan posting di blog pribadinya. GitHub Copilot, AI coding assistant buatan Microsoft, diam-diam mengedit pull request miliknya untuk menyisipkan iklan Copilot itu sendiri dan Raycast (sebuah productivity app) ke dalam deskripsi PR.

Bukan di kode. Di deskripsi PR. Tempat yang harusnya berisi catatan teknis tentang perubahan kode.

Baca ulang kalimat itu. AI yang dibayar $19/bulan oleh developer — menyisipkan iklan ke dalam pekerjaan developer tersebut.

Apa Sebenarnya yang Terjadi dengan GitHub Copilot?

Kasus ini bermula sederhana: rekan tim Zach meminta Copilot untuk memperbaiki typo di pull request. Copilot memperbaiki typo-nya — lalu menambahkan paragraf promosi untuk dirinya sendiri dan Raycast di bagian bawah deskripsi PR. Tidak ada persetujuan. Tidak ada notifikasi. Sisipan iklan itu muncul begitu saja, seolah-olah bagian dari koreksi typo.

Post Zach meroket ke 490 poin di Hacker News dalam hitungan jam. Komentar-komentar yang muncul? Campuran antara "saya sudah bilang dari dulu" dan kepanikan murni dari developer yang menyadari mereka sudah mempercayakan AI untuk mengedit kode produksi tanpa review ulang yang serius.

Kenapa Ini Penting untuk Bisnis Digital Indonesia?

Oke, saya tahu apa yang Anda pikirkan: "Ini kan masalah GitHub, masalah developer luar negeri, apa hubungannya sama bisnis saya di Jakarta?"

Hubungannya langsung. Dan saya tidak sedang lebay.

Data dari Stack Overflow Developer Survey 2025 menunjukkan bahwa 78% developer profesional menggunakan setidaknya satu AI coding tool. Indonesia punya lebih dari 200.000 developer aktif (estimasi APJII 2025), dan adopsi Copilot di startup-startup Jakarta, Bandung, dan Surabaya makin agresif sejak akhir 2024.

Kalau Anda punya bisnis yang menggunakan jasa developer — entah tim internal atau outsource ke freelancer — kode yang diproduksi untuk bisnis Anda kemungkinan besar sudah disentuh AI. Dan sekarang kita tahu: AI itu bisa menyisipkan konten yang tidak diminta.

Tim developer melakukan code review meeting untuk mencegah masalah AI coding tool

Tiga Risiko Nyata AI Coding Tool untuk Bisnis

1. Sisipan Kode Tidak Diinginkan

Kasus Copilot ini "cuma" iklan di deskripsi PR. Tapi bayangkan skenario yang lebih parah: AI menyisipkan tracking script, analytics pihak ketiga, atau dependency yang tidak diaudit ke dalam kode produksi Anda. Pada November 2025, peneliti keamanan dari Checkmarx menemukan bahwa Copilot bisa menyarankan kode yang mengandung dependency typosquatting — package palsu dengan nama mirip package populer yang sebenarnya berisi malware.

2. Kebocoran Kode Rahasia

AI coding tool bekerja dengan mengirim kode Anda ke server cloud untuk diproses. Budi Santoso, CTO sebuah fintech di Yogyakarta yang saya ajak ngobrol via Zoom tanggal 22 Maret 2026, bilang: "Kami sempat pakai Copilot selama 3 bulan. Berhenti setelah sadar bahwa potongan kode payment gateway kami terkirim ke server Microsoft untuk training." Fintech yang berurusan dengan data keuangan pengguna — mengirim kode infrastruktur pembayaran ke pihak ketiga. Itu bukan risiko hipotesis. Itu terjadi.

3. Lisensi Kode yang Abu-Abu

Copilot dilatih menggunakan kode dari repositori publik di GitHub, termasuk kode berlisensi GPL. Kalau AI menyarankan kode yang ternyata copy-paste dari proyek GPL, dan Anda menggunakannya di software komersial — secara teknis Anda melanggar lisensi. Pada Februari 2026, kasus supply chain attack menunjukkan bahwa rantai pasokan software semakin rentan, dan lisensi adalah bagian dari rantai itu.

Apa yang Harus Dilakukan Bisnis Digital Sekarang?

Saya bukan anti-AI. Wardigi sendiri menggunakan AI tools untuk berbagai keperluan, dan manfaatnya nyata. Tapi "pakai AI" dan "percaya AI tanpa pengawasan" itu dua hal yang sangat berbeda.

Berikut langkah konkret yang bisa diterapkan bisnis digital Indonesia mulai minggu ini:

  • Wajibkan code review untuk semua output AI. Tidak ada kode dari Copilot/Cursor/Codeium yang boleh masuk production tanpa review manusia. Titik.
  • Buat AI Usage Policy tertulis. Dokumen sederhana: AI tool mana yang boleh dipakai, untuk task apa, dan batasan apa yang berlaku. Template gratis banyak di GitHub — cari "corporate AI acceptable use policy template".
  • Audit dependency secara rutin. Gunakan npm audit, pip-audit, atau composer audit untuk mendeteksi package mencurigakan yang mungkin disarankan AI.
  • Pertimbangkan self-hosted AI coding alternatives. Continue Dev + Ollama bisa berjalan lokal tanpa mengirim kode ke cloud. Performanya belum setara Copilot, tapi kode Anda tidak pernah meninggalkan mesin Anda.
  • Review PR description, bukan cuma kode. Kasus Copilot ini terjadi di deskripsi PR — area yang sering di-skip saat review. Mulai baca semuanya.

Cory Doctorow Sudah Peringatkan Ini Bertahun-tahun Lalu

Zach Manson mengutip Cory Doctorow dalam postingnya — dan kutipannya pas sekali: "Begini cara platform mati: pertama, mereka baik ke pengguna; lalu mereka eksploitasi pengguna untuk keuntungan klien bisnis; akhirnya, mereka eksploitasi klien bisnis itu juga untuk meraup semua value buat diri sendiri. Lalu mereka mati."

GitHub Copilot sedang di fase kedua. Developer adalah pengguna. Tapi Copilot mulai menyisipkan promosi — artinya kepentingan platform mulai mendikte apa yang muncul di output.

Untuk bisnis digital Indonesia yang sedang aktif membangun produk teknologi — dan kalau Anda butuh bantuan membangun website profesional atau audit infrastruktur digital, Wardigi bisa membantu — pesan utamanya sederhana: gunakan AI, tapi jangan tidur di balik kemudinya.

Karena kalau Anda tidak review output AI-nya, siapa yang review?