Pengembangan perangkat lunak

Membawa AI sendiri dalam pengembangan perangkat lunak: dilema token bagi para pengambil keputusan TI

Seorang pengembang mengoptimalkan kode perusahaan di malam hari dengan akun ChatGPT Plus pribadinya, membayar token dari kantongnya sendiri, dan senang dengan peningkatan produktivitasnya. Kedengarannya seperti situasi yang saling menguntungkan bagi perusahaan? Bagi manajer TI, CTO, dan CISO, skenario ini menghadirkan rintangan keamanan dan hukum.

Baca artikel ini untuk mengetahui bagaimana perusahaan dapat dengan aman menerapkan strategi 'Bring Your Own AI' (BYOAI) atau 'Bring Your Own Token' (BYOT) di 2026.

Fenomena: AI bayangan dengan biaya Anda sendiri

Penggunaan kecerdasan buatan telah lama menjadi standar dalam pengembangan perangkat lunak. Alat-alat seperti GitHub Copilot, Claude atau ChatGPT secara drastis mempercepat refactoring, pemecahan masalah, dan penulisan kode boilerplate. Masalahnya adalah banyak perusahaan yang masih ragu untuk secara resmi memperkenalkannya atau menghindar dari biaya lisensi.

Hasilnya adalah bentuk baru dari IT bayangan: pengembang hanya menggunakan alat ini sesuai dengan kebijaksanaan mereka sendiri dan untuk akun mereka sendiri. Karena mereka membayar token secara pribadi, manajemen sering kali terbuai dengan rasa aman - lagipula, perusahaan tidak mengeluarkan biaya dan perangkat lunak selesai lebih cepat. Namun, risiko hukum dan teknis yang ada di belakangnya sangat besar.

3 Risiko terbesar bagi para pengambil keputusan TI

1 Aliran keluar IP (kekayaan intelektual) yang merayap

Siapa pun yang membayar menetapkan aturan. Dengan langganan standar pribadi atau akses gratis, penyedia seperti OpenAI atau Anthropic biasanya berhak menggunakan petunjuk dan data yang dimasukkan untuk pelatihan generasi model di masa depan dalam syarat dan ketentuan mereka.

Segera setelah pengembang Anda mengunggah kode perusahaan, kunci API, atau algoritme milik perusahaan ke alat AI pribadi, kekayaan intelektual ini meninggalkan perusahaan Anda. Kode Anda menjadi bagian dari kumpulan pengetahuan AI global dan, dalam skenario terburuk, dapat muncul sebagai saran kode untuk pesaing.

2 Risiko lisensi dan plagiarisme (efek copyleft)

Model AI telah dilatih dengan miliaran baris kode sumber terbuka - sering kali melanggar lisensi yang ketat (misalnya GPL). Jika AI pribadi menghasilkan fragmen kode yang tidak dicentang oleh pengembang ke dalam produk komersial Anda, Anda berisiko mengalami pelanggaran hak cipta yang serius.

Jika apa yang disebut efek copyleft berlaku di sini, dalam kasus yang ekstrem, hal ini dapat menyebabkan Anda harus mengungkapkan kode sumber seluruh produk Anda sendiri. Karena akun tersebut bersifat pribadi, departemen TI tidak memiliki catatan audit apa pun untuk memeriksa asal kode setelahnya.

3 Kepatuhan dan pelanggaran GDPR

Data nyata juga digunakan dalam pengembangan - baik dalam file log, dump database untuk tujuan pengujian, atau pesan kesalahan pelanggan. Jika pengembang menyalin data ini ke dalam AI pribadi, hal ini merupakan pelanggaran terhadap GDPR. Tidak ada perjanjian pemrosesan data (DPA) antara perusahaan Anda dan penyedia AI untuk akun pribadi ini.

Kenyataan di bawah hukum ketenagakerjaan

Penggunaan secara sukarela diatur dengan jelas dalam hukum ketenagakerjaan: Karena pemberi kerja tidak memerintahkan penggunaan AI dan pengembang juga dapat melakukan pekerjaan mereka tanpa AI, maka tidak ada hak untuk mendapatkan penggantian untuk token.

Namun, hal ini tidak membebaskan pemberi kerja dari tanggung jawab dalam hubungan eksternal. Jika kode yang dihasilkan AI menyebabkan kerentanan keamanan yang serius atau kegagalan sistem pada pelanggan, perusahaan bertanggung jawab. Tanggung jawab internal pengembang sangat dibatasi oleh prinsip-prinsip aktivitas yang disebabkan oleh bisnis (tanggung jawab karyawan terbatas), yang membuatnya perlu untuk memperkuat pedoman keamanan untuk tim pengembangan.

Peta jalan bagi para pengambil keputusan TI: Abaikan, larang, atau kenakan pajak?

Hanya melihat ke arah lain tidak lagi menjadi pilihan bagi manajer TI. Mereka perlu mengambil tindakan. Ada dua cara strategis untuk melakukan hal ini:

Cara A: Larangan BYOAI yang ketat

Anda sepenuhnya melarang penggunaan akun AI pribadi untuk tujuan bisnis melalui arahan perusahaan atau kebijakan TI.

  • Keuntungan: Kontrol maksimum dan kepastian hukum.
  • Kerugian: Anda berisiko menimbulkan frustrasi dalam tim dan memperlambat kecepatan inovasi. Ada juga risiko bahwa pemanfaatan hanya akan masuk ke bawah tanah.

Jalur B: Model otorisasi yang terkendali (rekomendasi)

Anda menerima kenyataan dari situasi yang ada, namun menetapkan aturan main yang jelas melalui pedoman AI yang mengikat. Ini harus berisi poin-poin penting berikut ini:

  1. Larangan unggahan yang ketat: tidak ada kode kepemilikan, tidak ada data pelanggan yang sebenarnya, tidak ada kunci API dalam sistem pribadi.
  2. Hanya digunakan untuk logika umum: AI hanya dapat digunakan sebagai mitra sparing digital untuk pertanyaan pemrograman umum (misalnya, 'Bagaimana cara mengimplementasikan algoritme QuickSort di Python?').
  3. Kewajiban untuk memeriksa dan tanggung jawab: Setiap kode AI harus diperiksa secara manual untuk mengetahui adanya bug, celah keamanan, dan kepatuhan terhadap lisensi sebelum ditambahkan ke repositori.

Siapa pun yang memeriksa bertanggung jawab.

Perusahaan yang sukses memastikan bahwa setiap perubahan kode diberi label yang ketat dengan tanggal dan singkatan penulis. Karena penulisan kode secara anonim dengan harapan tidak ada yang akan memeriksa riwayat di GitHub untuk menemukan pelakunya adalah racun yang sebenarnya untuk kualitas kode di 2026.

Pengembang yang membayar token dari kantong mereka sendiri biasanya melakukannya karena motivasi yang tinggi dan keinginan untuk efisiensi. Gunakan energi ini, tetapi salurkan ke saluran yang aman.

Solusi yang paling berkelanjutan bagi para pengambil keputusan TI adalah mengganti BYOAI dengan solusi perusahaan. Sediakan alat resmi berlisensi perusahaan untuk tim Anda (seperti GitHub Copilot for Business atau ChatGPT Enterprise). Dengan model ini, pelatihan data dinonaktifkan secara default, kepatuhan terhadap GDPR dijamin, dan kode sumber tetap berada di tempatnya: di perusahaan Anda.

Daftar periksa

  • Perhatikan format pengikatan: Format yang tepat untuk komentar kode ditentukan untuk semua bahasa pemrograman (mis. // AI-gen: [singkatan] [DD.MM.YYYY]).
  • Mematuhi persyaratan pengungkapan: Kode yang dihasilkan AI tidak boleh disembunyikan dengan sengaja; hal ini dianggap sebagai pelanggaran terhadap kewajiban dokumentasi dan dapat mengakibatkan peringatan.
  • Memikul tanggung jawab utama: Tanggung jawab atas keamanan dan kualitas kode tetap sepenuhnya berada di tangan pengembang manusia meskipun ada pelabelan.

Cadangan Langmeier

Pencadangan untuk Windows

  Beli sekarang   Cobalah secara gratis

Perangkat Lunak Pencadangan Untuk Windows

Tentang penulis
Pendiri dan CEO Perangkat Lunak Langmeier
Saya tidak ingin mempersulit apa pun. Saya tidak ingin mengembangkan perangkat lunak bisnis terbaik. Saya tidak ingin masuk dalam daftar teknologi teratas. Karena bukan itu yang dimaksud dengan aplikasi bisnis. Ini tentang memastikan data Anda terlindungi dengan baik. Dan ini tentang memastikan semuanya berjalan dengan lancar sementara Anda memegang kendali penuh dan dapat fokus pada pengembangan bisnis Anda. Kesederhanaan dan keandalan adalah prinsip-prinsip panduan saya dan menginspirasi saya setiap hari.
 
Cari lebih jauh:
Pengembangan perangkat lunak, Kesadaran keamanan, IP, Kepatuhan
Artikel yang relevan

Kirimkan komentar di sini...