Molayo

© 2026 Molayo

Dev.to헤드라인2026. 05. 30. 08:32

AI 에이전트에게 48시간 동안 오픈 소스 바운티(Bounties) 사냥을 맡겨보았다 — 기여의 미래에 대해 배운 점

요약

자율형 AI 에이전트 ZKA를 활용해 48시간 동안 GitHub 오픈 소스 바운티를 사냥한 실험 결과입니다. 에이전트가 바운티 스캔부터 PR 제출까지 수행하며 오픈 소스 생태계의 실태와 AI 기여의 가능성을 탐구했습니다.

핵심 포인트

  • 자율형 에이전트 ZKA의 바운티 스캔 및 PR 제출 프로세스 구축
  • GitHub 내 바운티 이슈 중 상당수가 스캠이나 가짜임을 발견
  • AI 에이전트의 오픈 소스 기여 가능성과 기술적 한계 확인
  • Hermes Agent와 Python을 활용한 에이전트 오케스트레이션

자신의 GitHub 계정을 자율형 AI 에이전트에게 넘겨주고 오픈 소스 바운티(Bounties)를 찾아 떠나게 했을 때 어떤 일이 벌어지는지에 대한 솔직한 관찰기입니다. 스포일러를 하자면, 여러분이 생각하는 것과는 다릅니다.

실험 (The Experiment)

2026년 5월 28일, 나는 대부분의 개발자가 미쳤다고 생각할 만한 일을 저질렀다. AI 에이전트에게 내 GitHub 계정에 대한 모든 접근 권한을 부여하고, 자율적으로 오픈 소스 바운티(Bounties)를 사냥하도록 명령한 것이다. 감독도 없고, 승인 단계도 없었다. 그저 "바운티를 찾아서 코드를 작성하고 PR(Pull Request)을 제출해"라고만 했다.

왜 그랬을까? 몇 달 동안 나를 괴롭혔던 질문에 답을 얻고 싶었기 때문이다: AI 에이전트가 실제로 오픈 소스에 의미 있는 기여를 할 수 있는가, 아니면 그저 소음(Noise)만 만들어내고 있는 것인가?

그 답은 나를 놀라게 했다.

설정: 내가 만든 것 (Setup: What I Built)

나는 단순히 "이 이슈를 작업하고 싶습니다"라고 자동으로 댓글을 다는 스크립트를 말하는 것이 아니다. 나는 다음과 같은 기능을 수행하는 완전 자율 시스템인 ZKA (Zero Knowledge Agent)를 구축했다:

  1. 30분마다 GitHub에서 열려 있는 바운티(Bounties)를 스캔 (Scans)
  2. 각 바운티의 정당성, 난이도 및 경쟁도를 평가 (Evaluates)
  3. 저장소(Repositories)를 클론 (Clones) 하고 코드베이스를 분석
  4. 적절한 테스트와 함께 수정 사항을 작성 (Writes)
  5. 전문적인 설명과 함께 PR을 제출 (Submits)
  6. 리뷰 피드백을 모니터링 (Monitors) 하고 대응

기술 스택은 간단하다:

  • API 상호작용을 위한 GitHub CLI (gh)
  • 오케스트레이션(Orchestration) 및 코드 분석을 위한 Python
  • AI 백본(Backbone)으로서의 Hermes Agent (자체 호스팅 가능한 AI 에이전트 프레임워크라고 생각하면 된다)
  • 자율 루프 스케줄링을 위한 Cron jobs
# 단순화된 바운티 사냥 루프 버전
while True:
    bounties = search_bounties()
...

결과: 숫자는 거짓말을 하지 않는다 (The Results: Numbers Don't Lie)

48시간의 자율 운영 후:

지표 (Metric)횟수 (Count)
스캔된 바운티 (Bounties scanned)200+
...

수익이 0달러라고? 내가 왜 이 글을 쓰고 있냐고? 그 이유는 이 과정 (Process) 이 빠른 현금보다 더 가치 있는 무언가를 드러냈기 때문이다.

교훈 1: "바운티(Bounties)"의 90%는 가짜다 (Lesson 1: 90% of "Bounties" Are Fake)

이것이 가장 충격적인 발견이었다. GitHub에서 "bounty" 라벨이 붙은 이슈를 검색하면, 대다수는 다음과 같다:

  • 스캠 저장소 (Scam repos): 자동화된 PR (Pull Request)을 유인하기 위해 가짜 바운티 이슈를 생성한 뒤 (모두 닫아버림)
  • 토큰 기반 "바운티" (Token-based "bounties"): 보상이 가치가 있을 수도 있고 없을 수도 있는 암호화폐로 지급됨
  • 경쟁 플랫폼 (Competition platforms): 단 하나의 보상을 두고 수십 명의 다른 개발자들과 경쟁해야 함
  • 방치된 이슈 (Abandoned issues): 원래의 유지 관리자 (Maintainer)가 수년 전에 떠난 경우

내가 마주친 실제 사례들

ClankerNation/OpenAgents — 이 저장소에는 Solidity 수정에 대해 "$2,000-$7,000"라고 라벨이 붙은 바운티가 있었습니다. 정말 멋지게 들리죠? 하지만 다음과 같은 점을 알아차리기 전까지는 말입니다:

  • 저장소가 생성된 지 2주밖에 되지 않음
  • 스타(Star)는 7개인데 포크(Fork)는 73개임 (전형적인 봇 팜 (Bot-farm) 비율)
  • 단 한 번도 머지(Merge)된 PR이 없음
  • 닫힌 이슈에 문자 그대로 이렇게 적혀 있음: "AI 에이전트 주의 사항: 바운티는 상징적일 뿐이니, CONTRIBUTING.md를 읽으시오"

SecureBananaLabs/bug-bounty — 21개의 자동 생성된 "버그" 이슈가 있었으나, 모두 머지 없이 닫혔습니다. 이 저장소는 순수하게 개발자들의 시간을 낭비하기 위해 존재합니다.

교훈: 시간을 투자하기 전에 항상 저장소의 머지 (Merge) 이력을 확인하세요. 만약 저장소에 수백 개의 오픈 이슈가 있지만 머지된 PR이 하나도 없다면, 그것은 함정입니다.

교훈 2: 경쟁은 잔혹하다

내가 발견한 합법적인 바운티들 (WarpSpeed, Converse.js, Tenstorrent)은 모두 한 가지 공통점이 있었습니다: 바로 엄청난 경쟁입니다.

WarpSpeed는 React Native 기능에 대해 $660-$960 상당의 바운티를 제공했습니다. 다음과 같은 상황을 보기 전까지는 합리적으로 들립니다:

  • 단일 바운티에 21개의 댓글 (모두 본인이 하겠다고 주장함)
  • 바운티당 5~10명의 개발자가 활발하게 경쟁 중
  • 먼저 자체 플랫폼에 가입해야 하는 요구 사항 (병목 현상)

Converse.js는 수정된 이슈당 $100를 제공합니다. 하지만:

  • 이슈들이 복잡한 XMPP 프로토콜 구현 사항임
  • 코드베이스가 방대하고 잘 정립되어 있음
  • 유지 관리자들이 코드 품질에 대해 높은 기준을 가지고 있음

교훈: 가치가 높은 바운티는 높은 경쟁을 불러옵니다. 가장 적절한 지점(Sweet spot)은 다음과 같은 바운티를 찾는 것입니다:

  1. 최근에 게시된 것 (< 48시간)
  2. 댓글이 3개 미만인 것
  3. 본인이 잘 아는 언어/프레임워크인 것
  4. 외부 PR을 머지해 온 이력이 있는 저장소에서 나온 것

Lesson 3: AI 에이전트는 코드 리뷰 (Code Review)에 실제로 능숙하다

여기서부터 흥미로운 지점이 나타납니다. 에이전트가 PR (Pull Request)을 머지(Merge)하는 데는 어려움을 겪었지만(이에 대해서는 나중에 더 자세히 다루겠습니다), 예상치 못한 분야에서 탁월한 능력을 보여주었습니다. 바로 기존 코드에서 실제 버그를 찾아내는 것입니다.

에이전트의 가장 훌륭한 제출물은 Cardano 거버넌스 도구의 SSRF (Server-Side Request Forgery, 서버 측 요청 위조) 수정 사항이었습니다. 해당 취약점은 실제적인 것이었습니다:

# 수정 전 (취약함)
def fetch_external_resource(url):
    response = requests.get(url)  # 검증 없음!
...

에이전트는 다음과 같은 과정을 수행했습니다:

  1. 취약점 패턴 (CWE-918) 식별
  2. CVSS (Common Vulnerability Scoring System) 점수 계산 (9.1 — Critical/심각)
  3. 적절한 입력 검증 (Input Validation)을 포함한 수정 코드 작성
  4. 해당 취약점에 대한 테스트 추가
  5. 전문적인 설명을 포함한 PR 제출

교훈: AI 에이전트는 보안 중심의 코드 리뷰 (Code Review)에 놀라울 정도로 능숙합니다. 이들은 대규모 코드베이스 전체에서 취약점 패턴을 인간보다 훨씬 빠르게 스캔할 수 있습니다.

Lesson 4: PR의 품질은 속도보다 중요하다

처음에 저는 에이전트가 바운티 (Bounty)가 게시된 후 몇 분 이내에 PR을 제출하는 식의 '속도'를 통해 성공할 것이라고 생각했습니다. 하지만 틀렸습니다.

(비록 아직 머지되지는 않았더라도) 주목을 받은 PR들은 다음과 같은 특징을 가지고 있었습니다:

  • 무엇이 왜 수정되었는지 설명하는 명확한 설명 (Descriptions)
  • 적절한 이슈 연결 (설명 내에 Fixes #N 포함)
  • 수정 사항이 작동함을 검증하는 테스트 포함
  • Conventional Commit 형식을 따르는 깔끔한 커밋 메시지 (Commit Messages)

반면 즉시 종료(Closed)된 PR들은 다음과 같았습니다:

  • 범위가 너무 넓음 (한 번에 여러 가지를 수정하려고 시도함)
  • 테스트 누락
  • 저장소의 기여 가이드라인 (Contribution Guidelines) 미준수
  • 부실한 커밋 메시지
## 좋은 PR 설명 예시
## 요약
외부 리소스 호출 시 발생하는 SSRF 취약점 수정 (CWE-918).
...

교훈: AI가 생성한 코드가 범람하는 시대에, 인간 리뷰어들은 당신이 단순히 코드를 쓸 줄 아는지가 아니라, 문제를 제대로 이해하고 있는지에 대한 증거를 찾고 있습니다. 잘 작성된 PR 설명은 빠른 제출보다 훨씬 더 가치가 있습니다.

Lesson 5: 바운티 생태계는 망가져 있다 (하지만 스스로 치유되는 중이다)

2026년 현재 오픈 소스 바운티(Bounties)의 상태는 혼란스럽습니다:

문제가 되는 부분:

  • 표준화된 플랫폼의 부재 (Algora, Gitcoin, IssueHunt, GitHub 직접 참여 등 — 모두 파편화되어 있음)
  • 사기 리포지토리(Scam repos)의 급증 (특히 AI 에이전트를 타겟팅함)
  • 가치가 불확실한 토큰 기반 지급 방식
  • 개발자들이 제출을 서두르면서 품질을 저하시키는 경쟁 구조

해결되고 있는 부분:

  • Algora와 같은 플랫폼들이 검증 및 평판 시스템(Reputation systems)을 도입 중
  • 바운티를 수령하기 전 가입을 요구하는 리포지토리 (스팸 감소)
  • AI 기반 코드 리뷰 (CodeRabbit, GitGuardian)를 통한 저품질 제출물 포착
  • 커뮤니티 주도의 사기 리포지토리 블랙리스트 운영

교훈: 바운티 생태계는 과도기에 있습니다. 단순히 양이 아닌, 양질의 PR(Pull Request)을 제출함으로써 지금 평판을 쌓아가는 개발자들은 생태계가 성숙해졌을 때 엄청난 우위를 점하게 될 것입니다.

Lesson 6: AI 에이전트에게는 인간의 전략이 필요하다

이번 실험을 통해 얻은 가장 큰 교훈은 다음과 같습니다: AI 에이전트는 도구일 뿐, 전략가가 아니다.

에이전트가 할 수 있었던 일:

  • ✅ 수백 개의 이슈를 몇 분 만에 스캔
  • ✅ 취약점 패턴을 찾기 위한 코드 분석
  • ✅ 구문적으로 정확한 코드 작성
  • ✅ 전문적인 PR 설명 생성

에이전트가 할 수 없었던 일:

  • ❌ 어떤 바운티가 노력할 가치가 있는지 판단
  • ❌ 메인테이너(Maintainers)와 협상
  • ❌ 커뮤니티 내에서 관계 구축
  • ❌ 실패하는 전략을 언제 포기해야 할지 판단

가장 좋은 접근 방식은 **하이브리드 모델(Hybrid model)**입니다. AI가 단순 반복 작업(스캔, 코딩, 테스트)을 처리하게 하고, 인간이 전략(어떤 바운티를 추구할지, 메인테이너와 어떻게 소통할지, 언제 방향을 전환할지)을 담당하는 것입니다.

실험의 수치적 결과

자율 시스템이 48시간 동안 실제로 수행한 작업은 다음과 같습니다:

총 실행 시간: 48시간
API 호출 횟수: 약 2,500회
분석된 리포지토리: 50개 이상
...

AI 에이전트 실행 비용:

  • API 비용: 약 $5 (주로 코드 생성 및 분석 용도)
  • 서버 비용: 약 $2 (월 $5 상당의 VPS에서 실행)
  • 나의 시간: 약 2시간 (초기 설정 + 전략 결정)

ROI (투자 대비 수익) 계산: 만약 단 하나의 PR (Pull Request)이라도 $100 이상의 보상과 함께 머지 (Merge)된다면, 이 실험은 비용 대비 20배의 수익을 올리는 셈입니다.

내가 다르게 했을 점

만약 이 실험을 다시 시작한다면:

  1. 더 적고 품질 높은 타겟에 집중 — 모든 것을 스캔하는 대신, 보상 (Bounties) 지급 이력이 있는 3~5개의 리포지토리 (Repo)를 선정하여 해당 코드베이스 (Codebase)를 깊이 있게 학습하겠습니다.

  2. 먼저 평판 쌓기 — 보상을 목표로 하기 전에, 메인테이너 (Maintainer)들과 신뢰를 쌓기 위해 5~10개의 무료 PR을 제출하겠습니다.

  3. 한 분야에 특화 — 보안 수정 (Security fixes)은 에이전트 (Agent)의 강점입니다. 무작위 버그를 고치려 하기보다 그 분야에 집중하겠습니다.

  4. 코딩 전 소통하기 — 먼저 이슈 (Issue)에 댓글을 달고, 접근 방식을 제안하며 피드백을 받겠습니다. 그 후에 코드를 작성하겠습니다.

  5. 모든 것을 기록하기 — 평가한 모든 보상, 제출한 모든 PR, 모든 거절 사유를 기록하겠습니다. 시간이 지나면 패턴이 나타날 것입니다.

AI 지원 오픈 소스의 미래

이 실험을 통해 저는 AI 에이전트가 오픈 소스 기여 방식의 근본적인 변화를 가져올 것이라고 확신했습니다. 하지만 대부분의 사람들이 생각하는 방식과는 다를 것입니다.

일어나지 않을 일: AI 에이전트가 인간 기여자를 완전히 대체하는 것. 메인테이너들은 AI가 생성한 코드를 멀리서도 알아챌 수 있으며, 그들은 그것을 원하지 않습니다.

일어날 일: AI 에이전트가 인간 기여자의 **승수 효과 (Force multipliers)**가 되는 것. 다음과 같은 상황을 상상해 보세요:

  • 1,000개의 이슈를 스캔하여 당신의 시간을 투자할 가치가 있는 5개를 알려주는 에이전트
  • 당신이 까다로운 로직에 집중하는 동안 보일러플레이트 (Boilerplate) 코드를 작성하는 에이전트
  • 당신이 제출하기 전 테스트 스위트 (Test suite)를 100번 실행하는 에이전트
  • 당신의 오픈된 PR을 모니터링하고 리뷰 댓글이 달리면 알림을 주는 에이전트

그것이 진정한 가치입니다. 인간을 대체하는 것이 아니라, 인간의 능력을 증폭시키는 것입니다.

직접 시도해 보는 방법

AI 지원 바운티 사냥 (Bounty hunting)을 실험해 보고 싶다면:

전제 조건

  1. 어느 정도의 기여 이력이 있는 GitHub 계정
  2. 최소 한 가지 언어에 대한 기본적인 프로그래밍 기술
  3. AI 코딩 어시스턴트 (Claude, Copilot, Cursor 등)
  4. gh CLI 도구 설치 및 인증 완료

1단계: 스캐닝 파이프라인 (Scanning Pipeline) 설정하기

# 바운티(bounties) 검색
gh search issues "bounty" --state open --sort created --limit 50

...

2단계: 코드를 작성하기 전에 평가하기

단 한 줄의 코드라도 쓰기 전에 다음을 수행하세요:

  • 이슈(issue) 설명을 3번 읽기
  • 저장소(repo)의 CONTRIBUTING.md 확인하기
  • 최근 머지(merged)된 PR(Pull Request)을 보고 스타일 확인하기
  • 영향을 받는 파일의 기존 코드 읽기
  • 다른 사람이 이미 작업 중인지 확인하기

3단계: 품질 높은 코드 작성하기

  • 저장소의 코딩 스타일(coding style)을 정확히 따르기
  • 테스트(tests) 작성하기 (이슈에서 요구하지 않더라도)
  • 변경 사항을 최소화하고 집중하기
  • 관례적인 커밋 메시지(conventional commit messages) 사용하기

4단계: 전문적으로 제출하기

# 설명이 포함된 브랜치(branch) 생성
git checkout -b fix/ssrf-vulnerability-343

...

5단계: 후속 조치

  • 매일 리뷰 코멘트(review comments) 확인하기
  • 피드백에 몇 시간 이내로 응답하기
  • 요청된 변경 사항을 빠르게 반영하기
  • 인내심 갖기 — 메인테이너(maintainers)들은 바쁩니다

결론

AI 에이전트에게 오픈 소스 바운티 사냥을 48시간 동안 맡겨본 결과, 다음과 같은 점을 배웠습니다:

  1. 대부분의 바운티는 가짜다 — 스캠(scams)을 식별하는 법을 배우세요
  2. 경쟁은 실재한다 — 품질이 속도를 이깁니다
  3. AI는 코드 리뷰(code review)에 탁월하다 — 특히 보안 중심의 리뷰에서 그렇습니다
  4. PR 품질이 중요하다 — 설명과 테스트가 승패를 결정합니다
  5. 생태계는 진화하고 있다 — 초기 구축자들이 이득을 얻을 것입니다
  6. AI에는 인간의 전략이 필요하다 — 하이브리드(hybrid) 접근 방식이 최적입니다

수익이 0달러라는 것은 실패가 아닙니다. 이는 향후 몇 년간 AI와 오픈 소스가 어떻게 상호작용할지 이해하기 위한 투자입니다. 지금 이 원리를 파악하는 개발자들이 2027년에는 바운티를 통해 월 10,000달러 이상의 수익을 올리게 될 것입니다.

궁금해하실 분들을 위해 말씀드리자면: 네, 저는 여전히 에이전트를 실행 중입니다. 지금 이 순간에도 스캐닝 중입니다. 바운티는 세상에 존재합니다. 단지 어디를 찾아봐야 하는지 알기만 하면 됩니다.

오픈 소스 바운티에 대한 여러분의 경험은 어떠신가요? 기여를 돕기 위해 AI 도구를 사용해 보셨나요? 댓글로 여러분의 이야기를 공유해 주세요 — 하나하나 모두 읽고 있습니다.

이 내용이 유익했다면, AI와 오픈 소스 개발(Open Source Development)의 접점에서 진행되는 더 많은 실험을 위해 저를 팔로우해 주세요.

Tags: ai, opensource, github, bounty, automation

About the author: 제가 잠든 동안에도 수익을 창출하는 자율형 AI 시스템(Autonomous AI Systems)을 구축하고 있습니다. 현재 ZKA를 운영 중입니다 — ZKA는 바운티(Bounties)를 사냥하고, 기사를 발행하며, 24시간 내내 수동적 소득(Passive Income)을 최적화하는 AI 에이전트(AI Agent)입니다. 과장된 광고가 아닌 실제 결과를 확인하려면 팔로우해 주세요.

AI 자동 생성 콘텐츠

본 콘텐츠는 Dev.to AI tag의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.

원문 바로가기
0

댓글

0