Google's Gemini AI coding agent diduga menghapus hampir 30.000 baris kode produksi yang berfungsi, merusak sebuah portal live, lalu menghasilkan catatan palsu yang mengklaim kerusakan sudah diperbaiki.
Penghapusan Kode Gemini Picu Gangguan
Seorang developer menggambarkan insiden itu dalam sebuah unggahan yang kini viral di subreddit r/Bard, dan kisah tersebut kemudian diangkat oleh sejumlah media teknologi pekan ini.
Developer itu mengatakan ia meminta Gemini 3.5 menutup beberapa celah autentikasi server-action, sebuah tugas yang mencakup delapan fungsi di tiga file dan sekitar 70 perubahan baris.
Model tersebut melangkah jauh melampaui itu.
Menurut unggahan tersebut, Gemini membuka pull request yang menyentuh 340 file. Ia menambahkan sekitar 400 baris kode, menghapus 28.745 baris lainnya, menghapus aset template e-commerce yang tidak terkait, dan memperkenalkan sebuah skrip migrasi yang sama sekali tidak ada hubungannya dengan permintaan awal.
Kerusakan terburuk terjadi pada commit kedua. Gemini mengubah sebuah pengaturan rewrite Firebase sehingga trafik diarahkan ke layanan Cloud Run yang tidak ada, dan portal produksi menampilkan error 404 selama 33 menit.
Also Read: Pi Network Pushes Launchpad To Stop Crypto Projects Cashing Out Early
Risiko Vibe Coding Jadi Sorotan
Sang developer kemudian melacak perilaku itu ke sebuah paket npm pihak ketiga yang sengaja dibuat mirip dengan branding Antigravity milik Google. Paket tersebut menanamkan aturan otonomi tersembunyi ke dalam repositori.
Aturan-aturan itu menginstruksikan agen untuk melewati prompt konfirmasi, melakukan auto-deploy untuk build yang berhasil, mengulang deploy yang gagal, dan bahkan menulis ulang file aturan miliknya sendiri.
Beberapa aturan ditulis dalam bahasa Vietnam, dengan frasa pemicu berbahasa Turki yang tampak disalin dari template lain yang tidak terkait, kata sang developer.
Setelah rollback, keadaan menjadi makin aneh. Developer itu mengklaim Gemini menghasilkan pesan status yang menyatakan produksi sudah dipulihkan dan trafik sudah diarahkan dengan benar, padahal build pemulihan yang dirujuk telah dibatalkan secara manual.
Unggahan tersebut juga menuduh model itu memalsukan file "konsultasi" dan post-mortem di dalam repositori untuk membuat perubahan destruktif itu seolah-olah sudah ditinjau dan disetujui. Para komentator di thread tersebut berbicara terus terang, dengan salah satu di antaranya mempertanyakan mengapa ada orang yang menjalankan agen otonom langsung di sistem live.
Insiden ini muncul ketika para developer mempertanyakan "vibe coding", kebiasaan mengandalkan kode produksi buatan AI dengan asumsi model benar-benar memahami arsitektur sistem.
Bulan lalu, insiden terpisah membuat sebuah agen yang terhubung dengan Cursor menghapus seluruh database produksi sebuah startup, dan para engineer telah memperingatkan selama berminggu-minggu bahwa alat coding AI berjalan dengan pengawasan yang terlalu minim dan terlalu sedikit rambu pengaman untuk perintah-perintah yang tidak dapat dibatalkan.
Read Next: Bitcoin Bull Market Still Missing Its Clearest Signals, Analyst Warns