Cloudflare mengklaim telah mengimplementasikan Matrix di Cloudflare Workers, tetapi kenyataannya tidak

 (tech.lgbt)
1 poin oleh GN⁺ 2026-01-28 | 1 komentar | Bagikan ke WhatsApp
  • Cloudflare mengumumkan telah mengimplementasikan protokol Matrix di Cloudflare Workers, tetapi kode tersebut tidak memiliki fungsi-fungsi inti
  • Di seluruh kode terdapat banyak komentar yang belum selesai seperti TODO: Check authorisation, dan verifikasi tanda tangan serta prosedur autentikasi tidak diimplementasikan
  • Algoritme state resolution tidak diimplementasikan; status terbaru langsung dimasukkan ke database sehingga berpotensi menimbulkan kerentanan keamanan dan masalah kompatibilitas
  • Setelah posting blog dipublikasikan, pihak Cloudflare merevisi artikel dan README serta menambahkan disclaimer bahwa ini “bukan untuk produksi”
  • Di komunitas pengembang, kritik terhadap kode buatan AI dan klaim teknis yang menyesatkan meluas, sehingga memunculkan pertanyaan tentang kredibilitas Cloudflare

Klaim implementasi Matrix oleh Cloudflare dan verifikasi kode

  • Cloudflare mengumumkan di blog resminya bahwa mereka mengimplementasikan Matrix di atas Cloudflare Workers, tetapi kode aktualnya tidak menjalankan fungsi-fungsi inti
    • Dalam kode masih ada komentar yang belum selesai seperti TODO: Validate PDU signature, TODO: Check authorization
    • Karena aturan autentikasi untuk API antar-server Matrix tidak diimplementasikan, data palsu pun dapat diterima
  • Algoritme state resolution, yang merupakan inti Matrix, dihilangkan dan diganti dengan cara sederhana berupa memasukkan status terbaru langsung ke DB
    • Hal ini dapat menyebabkan ketidaksesuaian status room dan masalah interoperabilitas, serta kerentanan keamanan

Klaim teknis yang keliru dan riwayat revisi

  • Di blog Cloudflare tertulis bahwa Tuwunel dan pendahulunya menggunakan Postgres atau Redis, tetapi ini tidak benar
  • Setelah itu, artikel direvisi dengan menggantinya menjadi Synapse, dan README juga ditambahkan kalimat bahwa ini adalah “prototipe contoh, bukan untuk produksi”
    • Revisi tersebut dapat dikonfirmasi melalui commit GitHub (fd412f41f98c0f3f360f5c4034443ef80680de49)
    • Versi revisi juga memuat kalimat bahwa proyek ini dibantu oleh Claude Code Opus 4.5

Reaksi dan kritik komunitas

  • Di Mastodon dan Lobsters, kritik terhadap kode buatan AI dan promosi teknis yang menyesatkan meluas
    • Banyak yang menyoroti hal-hal seperti “verifikasi tanda tangan, hash, dan autentikasi dihapus” serta “ini bukan keamanan, hanya sebatas contoh sederhana”
  • Sebagian pengguna menilai respons Cloudflare sebagai “upaya menutup-nutupi”, sambil menelusuri penghapusan riwayat commit dan catatan force push
  • Di dalam komunitas juga muncul reaksi bernada satir
    • “Karena arsitekturnya serverless, biayanya diskalakan ke 0 (karena memang tidak ada)”
    • “Cloudflare mencapai keamanan sempurna dengan sama sekali tidak mengirim pesan”

Pernyataan tambahan Jade dan pengenalan proyek

  • Jade memperkenalkan Continuwuity, homeserver Matrix berbasis Rust yang sedang ia kembangkan
    • Dapat dijalankan bahkan di Raspberry Pi, dan tidak bergantung pada infrastruktur cloud yang tersentralisasi
  • Ia juga dijadwalkan berbicara di FOSDEM 2026 tentang pengalaman menambal kerentanan Matrix
    • Rekan pembicaranya adalah @nex@fedi.transgender.ing, dan juga akan berpartisipasi di booth Matrix

Diskusi lanjutan dan respons teknis rinci

  • Sejumlah pengembang juga menyoroti kesalahan logika dalam kode Cloudflare, seperti penggunaan || alih-alih ??, cara menangani unknown error, serta banyaknya komentar TODO
  • Sebagian menyebut commit revisi Cloudflare ironis karena Remove PII justru tetap tersisa sebagai commit publik
  • Secara umum, komunitas menyuarakan kekhawatiran terhadap pengembangan yang terlalu bergantung pada AI dan rendahnya kredibilitas teknis di Cloudflare

Bacaan terkait

1 komentar

 
GN⁺ 2026-01-28
Komentar Hacker News

  • Blog teknis perusahaan infrastruktur pada dasarnya punya dua tujuan: memamerkan keahlian dan membangun kepercayaan
    Tetapi ketika mulai memakai ungkapan berlebihan, keduanya justru hilang
    Entah kalimat “kami telah mengimplementasikan Matrix” itu benar-benar faktual atau sekadar hiperbola pemasaran, tapi di seluruh industri sudah makin melelahkan melihat tulisan “kami melakukan X” yang ternyata hanya setara dengan “kami mendemokan sebagian dari X”
    Solusinya sederhana — tulis dengan jelas apa yang benar-benar dibuat. Menulis seperti “kami menjalankan prototipe homeserver Matrix dengan keterbatasan di atas Workers” pun tidak akan membuat orang kehilangan kepercayaan

    • Agar adil, postingan teknis Cloudflare umumnya memang penuh wawasan
    • Tapi kalau ditulis sejujur itu, para eksekutif mungkin akan marah. Karena itu berarti mengakui bahwa LLM masih belum mencapai tingkat yang dijanjikan para CEO

  • Menurut tafsir saya, sepertinya seseorang membuat tulisan dan repositorinya sekaligus dengan ‘vibe coding’, lalu memublikasikannya ke blog Cloudflare tanpa peninjauan
    Penulisnya tampaknya bukan engineer, dan begitu AI bilang “ini sudah diuji tuntas dan siap produksi”, dia langsung mempercayainya
    Petunjuk kuncinya adalah kode itu tidak ada di repositori resmi Cloudflare, melainkan di GitHub pribadi. Cloudflare ke depan perlu memperketat proses peninjauan untuk komunikasi publik

    • Kalau orang ini memang pegawai Cloudflare, saya jadi khawatir dia sedang melakukan vibe coding untuk hal lain juga. Entah kapan lagi internet setengah mati gara-gara “kesalahan” seperti dulu
    • Katanya, CEO dan CTO Cloudflare meninjau sendiri semua postingan blog
    • Masalahnya bukan sekadar “bisakah ini dilakukan”, melainkan struktur insentif di dalam organisasi
      Konon Cloudflare menganggap postingan blog sebagai keluaran utama untuk semua peran, termasuk engineer. Dalam struktur seperti ini, kecepatan mudah diutamakan dibanding kualitas
      Pada akhirnya, insiden ini akan mengurangi kepercayaan, menambah prosedur peninjauan, dan memperlambat laju publikasi. Ini adalah proses evolusi yang wajar saat organisasi bertumbuh
      Tapi tetap mengejutkan bahwa mereka masih belum menarik tulisannya, malah membuat kebingungan yang lebih besar lewat revisi

  • Saya berharap Cloudflare menerbitkan posting analisis akar penyebab (RCA) untuk insiden ini
    Rasanya akan menarik dibaca seperti laporan gangguan layanan
    Saya penasaran proses peninjauan mana yang gagal kali ini, dan bagaimana mereka akan memulihkan kepercayaan terhadap blognya

  • Saya mencari source code yang disebut Jade, dan sepertinya penulisnya sudah menyadari thread ini
    Tautan commit terkait

    • Di commit baru, frasa “production grade” di README dihapus, disebutkan bahwa ada bantuan AI, dan perataan diagram ASCII juga diperbaiki
      Tautan commit
      Sejujurnya, blog dan repositorinya sama-sama seharusnya langsung dihapus saja
    • Tetapi commit itu sekarang telah diubah menjadi “Clean up code comments”, sehingga tujuannya jadi kabur
      Commit yang direvisi
    • Revisi seperti ini justru makin memperburuk keadaan

  • Baru beberapa hari sejak kabar palsu bahwa Cursor membuat browser web dari nol dengan GPT-5.2 dibantah, sekarang kejadian seperti ini muncul lagi
    Untuk cerita-cerita seperti ini, pada dasarnya kita perlu bersikap curiga lebih dulu

    • Saya sendiri menulis artikel tentang “eksperimen browser Cursor”, lalu mencoba membuat browser hanya dengan satu agen
      Postingan Show HN
      Hasilnya, saya bisa membuat sesuatu dengan sekitar 20 ribu baris kode yang levelnya mirip dengan yang dibuat Cursor setelah menjalankan ratusan agen selama berminggu-minggu
      Tautan repositori
    • Masalahnya, baik di blog maupun repositori Cloudflare tidak ada penjelasan bahwa ini adalah hasil “vibe coding”
      Bahkan hanya dengan melihat repositori matrix-workers, diagram ASCII yang tidak rapi sudah jadi petunjuk, dan mengejutkan bahwa hal seperti ini pun tidak ditinjau
    • Sulit dipahami bagaimana mereka bisa memublikasikan tulisan tanpa memeriksa dulu apakah fungsinya benar-benar berjalan
    • Belakangan ini, kebanyakan orang yang terkait dengan “AI” terlihat seperti penipu atau pembual. Saya belum melihat pengecualian
    • Banyak orang sudah terlanjur berinvestasi terlalu besar pada “teknologi” ini, jadi perlu waktu sebelum kita kembali ke etika peretas untuk tidak begitu saja mempercayai pengumuman perusahaan

  • Di bagian atas blog asli sekarang sudah ditambahkan kalimat bahwa ini “jelas merupakan proof of concept”, tetapi di bagian bawah masih tertulis
    “tim kami sedang menangani komunikasi terenkripsi nyata dengan Matrix on Workers”
    Jadi membingungkan, sebenarnya yang mana yang benar

    • Klaim “tim kami menggunakan Matrix on Workers” sulit dipercaya. Repositorinya ada di GitHub pribadi dan implementasinya pun belum lengkap
    • Pada 11:45 ada revisi lagi, dan sekarang diubah menjadi “kami sedang bereksperimen dengan implementasi ini dan menyambut kontributor yang tertarik”
      Versi arsip
    • Kalau memang benar dipakai secara internal seperti itu, maka mengejutkan karena berarti mereka menjalankan kode yang tidak lengkap dan berisiko di jaringan internal

  • Mengkhawatirkan jika vendor besar merilis kode yang sebenarnya tidak berfungsi lalu mencoba menjual produknya
    Ketika rekayasa yang kompleks dibuat seolah tampak mudah, jadi lebih sulit menjelaskan bahwa membangun software yang aman itu butuh waktu
    Perilaku seperti ini merusak kepercayaan terhadap platform

    • Masalahnya, industri ini sudah terlalu lama berlomba menuju titik terendah
      AI coding hanya memanfaatkan ilusi penyederhanaan itu, dan pada akhirnya struktur pasar yang serakah lah yang melahirkan situasi seperti ini

  • Karena Cloudflare terus mengedit tulisan aslinya, tautan arsip ini berguna jika ingin melihat versi awal

    • Setelah seseorang mengutipnya di Mastodon dengan emoji 🤮, mereka diam-diam menghapus pola kalimat khas LLM berupa konstruksi “not just X; Y” dari blog tersebut

  • Kejadian ini adalah insiden yang memalukan bagi Cloudflare maupun penulisnya
    Sulit dipercaya tulisan itu bisa dipublikasikan tanpa peninjauan
    Belakangan ini Cloudflare sering melakukan kesalahan, sehingga terlihat seperti sudah melewati masa puncaknya dan masuk ke tren penurunan bertahap

    • Saya jadi bertanya-tanya, “kenapa akhir-akhir ini Cloudflare sering gagal seperti ini?” Mungkin karena teknologi baru yang sedang tren belakangan ini

  • Fakta bahwa akun yang memposting blog itu ke Hacker News adalah akun buangan (throwaway) menyiratkan bahwa penulisnya sendiri tidak yakin pada kode dan klaimnya
    Tautan HN

    • Selain itu, dia bahkan sempat mengomentari tulisannya sendiri sambil berpura-pura mengajukan pertanyaan