Baru saja menyadari sesuatu yang selama ini mengganggu saya tentang situasi Cursor secara keseluruhan. Kamu tahu alat coding AI senilai $29,3Miliar yang sedang menjadi obsesi semua orang? Ternyata otak yang mendukung Composer 2 bukan seperti yang kamu kira.

Jadi minggu lalu, para pengembang mulai menyelidiki respons API dan menemukan sesuatu yang menarik di jalur model: kimi-k2p5-rl-0317-s515-fast. Kimi K2.5. Itu adalah model open-source Moonshot AI dari China. Tidak benar-benar tersembunyi di cetakan kecil, tapi juga tidak pernah diiklankan secara terbuka.

VP Pengembangan Edukasi Cursor mengakuinya beberapa hari kemudian, mengatakan sekitar 25% dari kekuatan komputasi berasal dari platform Kimi, sisanya dari pelatihan mereka sendiri. Mereka menyebut penghilangan informasi di posting blog sebagai "kesalahan." Tapi ini sudah kedua kalinya. Saat Composer 1 diluncurkan, orang-orang menyadari bahwa itu menggunakan tokenizer DeepSeek—juga tidak pernah disebutkan. Sampai kapan ini dianggap sebagai kesalahan?

Tapi yang menarik di sini: menggunakan Kimi K2.5 sebenarnya adalah langkah cerdas. Model ini solid dalam generasi kode, open-source sehingga biaya akuisisi hampir nol, dan untuk perusahaan yang fokus pada lapisan produk dan integrasi toolchain, ini masuk akal secara bisnis. Masalahnya bukan pada pilihan teknisnya. Tapi pada keheningan.

Namun ada masalah kepatuhan yang tidak dibicarakan orang. Kimi K2.5 menggunakan lisensi MIT yang dimodifikasi dengan satu persyaratan khusus: jika produk komersial memiliki lebih dari 100 juta pengguna aktif bulanan atau pendapatan bulanan lebih dari $20 juta, kamu harus menampilkan secara mencolok "Kimi K2.5" di UI. Cursor melakukan sekitar $2B per tahun—itu sekitar 8 kali lipat dari ambang batas. Persyaratan ini jelas. Tapi diabaikan.

Saya bukan pengacara, tapi ini penting karena industri perangkat lunak telah menghabiskan dua dekade belajar menghormati lisensi open-source. Kita beralih dari gugatan GPL ke SBOM yang menjadi praktik standar. Lisensi model AI mungkin masih dalam tahap awal perjalanan yang sama. Jika perusahaan bisa melewatkan sesuatu yang sesederhana menambahkan label, bagaimana dengan hal yang lebih sulit—aliran data, auditabilitas model, kepatuhan lintas batas?

Ada konsep yang disebut "Trust Tax" yang berlaku di sini. Pengguna membayar $20/bulan untuk apa yang mereka kira adalah teknologi proprietary mutakhir, lalu mengetahui bahwa itu adalah model open-source gratis dengan tweak? Kepercayaan itu retak. Apalagi ketika Cursor sudah mengalami drama harga dengan paket Pro "Tanpa Batas" di mana orang menghabiskan kredit bulanan dalam tiga hari.

Pertanyaan sebenarnya adalah apa yang sebenarnya dibayar pengguna. Jika itu kemampuan model, cukup panggil API Kimi langsung—lebih murah. Jika itu pengalaman produk dan integrasi toolchain, maka jelaskan saja daripada memberi kesan bahwa semuanya dikembangkan sendiri. Apple tidak berpura-pura memproduksi chip mereka sendiri. Mereka dibuat oleh TSMC. Tidak ada yang merasa tertipu karena mereka tahu apa yang sebenarnya mereka bayar.

Yang benar-benar menarik di sini adalah perubahan struktural yang lebih besar: model open-source China menjadi fondasi tak terlihat dari aplikasi AI global. DeepSeek, Tongyi Qianwen, Kimi—ini diam-diam mendukung berbagai hal di seluruh dunia. CEO Hugging Face bahkan mengatakan bahwa open source China adalah "kekuatan terbesar yang membentuk tumpukan teknologi AI global." Tidak berlebihan.

Namun, untuk pengguna perusahaan, ini menciptakan masalah nyata. Pengembang Anda mengarahkan kode melalui model yang asal-usulnya bahkan tidak Anda ketahui. Di industri yang diatur—keuangan, kesehatan, pemerintahan—itu adalah mimpi buruk kepatuhan. Kedaulatan data, regulasi lintas batas, semuanya menjadi tidak jelas. Beberapa orang menyebutnya "Shadow AI," seperti halnya Shadow IT dulu. Pengembang menyematkan model ini ke dalam IDE dan pipeline sementara tim keamanan tidak tahu apa-apa.

Akhirnya industri perangkat lunak menyelesaikan ini dengan SBOM—Daftar Bahan Perangkat Lunak. Menyebutkan komponen apa yang digunakan, versi, kerentanan yang diketahui. AI membutuhkan hal yang sama. AI-BOM sudah dibahas di kalangan keamanan. Harus mencakup: model dasar apa, sumber dan proses data pelatihan, metode fine-tuning, deployment, aliran data.

Bagi pengembang yang memilih alat, ini berarti mengaudit sumber model sama seperti mengaudit lisensi dependensi. npm audit, pip check—itu sudah standar. Audit model bisa menjadi langkah berikutnya. Bagi vendor AI, mengungkapkan sumber model secara proaktif bukanlah kelemahan, melainkan investasi dalam kepercayaan jangka panjang. Perusahaan pertama yang menjadikan AI-BOM sebagai standar mungkin akan mendapatkan keunggulan premium.

Intinya: Kimi K2.5 benar-benar bagus. Kerja teknis Moonshot layak dihormati. Keahlian produk Cursor nyata. Masalahnya bukan soal "model China digunakan." Dalam ekosistem open-source, teknologi bagus tidak seharusnya memiliki label nasional. Masalahnya adalah kita tidak diberitahu. Saat agen AI ini semakin menyatu dalam alur kerja kita, menangani lebih banyak kode, data, dan keputusan, setidaknya kita harus tahu siapa yang benar-benar berpikir di balik layar.