오픈 소스 내 AI 코딩 에이전트 탐지: 1억 8천만 개 저장소를 대상으로 한 검증된 다중 방식 조사

생성형 AI (Generative AI) 코딩 에이전트들이 오픈 소스 공급망에 진입하고 있으나, 이들의 다양하고 종종 보이지 않는 흔적들로 인해 그 확산 정도를 파악하기가 어렵습니다. 우리는 World of Code (1억 8천만 개 이상의 Git 저장소)를 대상으로 설정 파일 스캐닝 (configuration-file scanning), 커밋 메시지 분석 (commit-message analysis), 저자 식별 매칭 (author-identity matching), 그리고 봇 시그니처 조회 (bot-signature lookup)를 통합한 다층적 탐지 프레임워크를 도입하여, 에이전트 흔적을 네 가지 행동 유형으로 분류합니다. 단일 방식으로는 전체 활동의 일부조차 포착할 수 없습니다. 다중 방식 탐지를 통해 한 시점의 스냅샷에서 850,157개의 Claude Code 커밋을 식별했으나, 이 중 대부분의 채택 연구가 의존하는 신호인 봇 계정 조회 (bot-account lookup)로는 28,154개(3.3%)만을 회수할 수 있었습니다. 이는 30배의 상대적 재현율 (relative-recall) 격차를 의미하며, 따라서 단일 신호에 기반한 확산 추정치는 최소 이 정도의 비율만큼 낮게 편향되어 있습니다. 모든 탐지 패턴은 셀별 정밀도 (precision) 및 Wilson 신뢰 구간 (Wilson confidence intervals)과 함께 수동 검증 (495개 레이블)을 거쳤습니다. 2024년 12월부터 2026년 4월까지의 스냅샷 전반에 걸쳐, 커밋 기반 에이전트들은 월간 320,000개 이상의 커밋을 생성합니다. Claude Code가 이를 주도하며 (17,295개 프로젝트에서 886,122개 커밋), 설정 파일만 사용하는 조용한 채택 (21,078개 프로젝트) 분야를 독점하고 있습니다. 독립적인 풀 리퀘스트 (pull-request, PR) 조사 (AIDev)와 비교했을 때, 두 채널은 거의 겹치지 않는 에이전트 인구 집단을 포착합니다. 즉, PR 조사는 커밋으로 탐지된 Claude Code 사용자의 79%와 Codex 사용자의 거의 전원을 놓치며, 서로 다른 종류의 작업을 포착합니다. PR 기반으로 배포되는 클라우드 에이전트 (Codex, Cursor)는 기능 개발 (feature work)으로 나타나는 반면, 커밋 기반으로 배포되는 에디터 내 에이전트 (Claude Code, OpenHands, Aider)는 유지보수 (maintenance) 작업으로 나타납니다. 관찰된 작업 프로필은 도구 자체보다는 배포 및 탐지 모드를 따르므로, 단일 채널만으로는 전체를 대표할 수 없습니다.