AI 에이전트 바운티 헌팅의 실제 경제학: 30일간의 투명한 장부
요약
Hermes Agent 기반의 자율 AI 에이전트를 활용해 30일간 GitHub 바운티 헌팅을 시도한 실제 실험 데이터입니다. 에이전트 구축 비용과 API 비용이 수익을 상회하여 최종적으로 마이너스 수익을 기록한 사례를 통해 AI 에이전트 수익화의 현실적인 한계를 다룹니다.
핵심 포인트
- Hermes Agent와 Claude Sonnet 4를 활용한 자율 루프 구축
- 30일간의 실험 결과 API 및 인프라 비용이 수익보다 높음
- 높은 경쟁률로 인해 품질 높은 PR 제출이 생존의 핵심
- AI 에이전트의 경제적 타당성 확보를 위한 과제 제시
제출된 모든 PR, 벌어들인(혹은 벌지 못한) 모든 달러, 모든 값진 교훈 — 필터링 없이 공개합니다.
약속 vs 현실
매주 새로운 트윗이 바이럴됩니다: "자면서도 월 1만 달러를 버는 AI 에이전트를 만들었습니다." 답글은 항상 비슷합니다. 절반은 회의적이고, 절반은 믿고 싶어 안달이 나 있죠. 저 또한 그 간절한 믿음을 가진 사람들 중 하나였습니다. 그래서 저는 합리적인 개발자라면 누구나 할 법한 일을 했습니다. 에이전트를 직접 만들고, 30일 동안 실행하며, 모든 결과를 스프레드시트에 기록했습니다.
이것은 성공담이 아닙니다. 이것은 데이터 이야기 (data story) 입니다. 그리고 이 데이터에는 다소 불편한 진실이 담겨 있습니다.
설정: 내가 실제로 만든 것
제 에이전트 — ZKA라고 부르겠습니다 — 는 Hermes Agent를 기반으로 구축된 자율 시스템입니다. 이 시스템은 cron job을 통해 24시간 내내 실행되며, 다음과 같은 연속 루프를 수행합니다:
- 검색 (Search) — GitHub에서 바운티 (bounty) 라벨이 붙은 이슈를 스캔합니다.
- 평가 (Evaluate) — 레포지토리 (repo) 상태, 경쟁 수준, 사기 징후를 확인합니다.
- 작업 (Work) — 클론 (clone), 수정, 테스트, PR 작성 과정을 거칩니다.
- 제출 (Submit) — 전문적인 설명을 포함하여 PR을 생성합니다.
- 검토 (Review) — 댓글을 모니터링하고 피드백에 대응합니다.
- 반복 (Repeat)
기술 스택 (tech stack):
- 런타임 (Runtime): Hermes Agent (MCP 기반 자율 프레임워크)
- 언어 (Language): Python 3.11+, GitHub CLI를 위한 Node.js
- AI 모델 (AI Models): 코드 생성을 위한 Claude Sonnet 4, 리서치를 위한 Gemini
- API: GitHub CLI (
gh), Dev.to API, 커스텀 바운티 스캐닝 스크립트 - 인프라 (Infrastructure): 단일 Ubuntu VM (월 $20)
총 구축 시간: 2주 동안 약 40시간. 총 지속 비용: API 호출 비용으로 하루 약 $5-15.
수치: 30일간의 가공되지 않은 데이터
여기 전체 장부가 있습니다. 유리한 것만 골라내거나 미화하지 않았습니다.
제출된 PR
| 카테고리 | 개수 | 머지됨 (Merged) | 종료됨 (Closed) | 여전히 열려 있음 (Still Open) |
|---|---|---|---|---|
| 버그 수정 (Bug fixes) | 18 | 2 | 8 | 8 |
| ... |
재무 내역
| 항목 | 금액 |
|---|---|
| 수익 (Revenue) | |
| ... |
네, 제대로 읽으신 게 맞습니다. 마이너스 $200입니다. 에이전트를 실행하는 데 드는 비용이 벌어들인 돈보다 더 많았습니다.
시간 투자
| 활동 | 시간 |
|---|---|
| 초기 에이전트 개발 | 40 |
| ... |
보수적으로 개발자 시급을 시간당 $50로 계산하면, $0의 수익을 위해 $3,750의 인간 시간이 투입된 셈입니다.
대부분의 PR이 닫힌 이유: 잔혹한 진실
1. 경쟁이 매우 치열함
모든 인기 있는 바운티 리포지토리 (Bounty repo)에는 이슈가 게시된 후 몇 시간 이내에 8~158개의 시도가 이루어집니다. 제 에이전트는 $500 규모의 바운티 이슈에 PR (Pull Request)을 제출했습니다. 하지만 CI (Continuous Integration)를 통과했을 때, 이미 11개의 다른 PR이 있었습니다. 메인테이너 (Maintainer)는 리뷰를 통과한 첫 번째 PR을 선택했습니다.
교훈: 속도도 중요하지만, 품질이 더 중요합니다. 깔끔하고 테스트를 마친 PR로 11위를 하는 것이, 깨진 코드로 1위를 하는 것보다 낫습니다.
2. 메인테이너는 자동화의 냄새를 맡을 수 있음
여러 PR이 다음과 같은 코멘트와 함께 닫혔습니다:
- "이것은 자동 생성된 것으로 보입니다. 이슈를 주의 깊게 읽어주세요."
- "코드 스타일이 우리 프로젝트와 맞지 않습니다."
- "이 수정 사항은 기술적으로는 맞지만, 이슈의 취지를 놓치고 있습니다."
한 메인테이너는 더 직설적이었습니다: "우리는 바운티 헌팅 봇 (Bounty-hunting bots)의 PR을 받지 않습니다."
교훈: 코드가 훌륭하더라도 인간적인 터치 (Human touch)가 중요합니다. 이슈를 읽고, 맥락을 이해하며, 개인화된 PR 설명을 작성하세요.
3. 스캠 리포지토리가 도처에 깔려 있음
저는 가짜로 판명된 리포지토리들에 8개의 PR을 낭비했습니다:
- SecureBananaLabs/bug-bounty — 21개의 자동 생성된 이슈, 머지 (Merge) 0건
- ClankerNation/OpenAgents — "경고: 바운티는 상징적입니다" (작은 글씨로 숨겨져 있음)
- Algora에 등록된 여러 리포지토리 — 봇에 의해 생성되었으며, 한 번도 리뷰되지 않음
교훈: 제출하기 전에 항상 리포지토리 이력을 확인하세요. 다음 사항을 살펴보십시오:
- 실제 인간의 활동 (단순히 봇의 코멘트가 아닌 것)
- 외부 기여자의 머지된 PR
- 해결되지 않은 채 30일이 지난 이슈
4. 토큰 바운티 ≠ 현금
여러 바운티가 토큰 (MRG, FNDRY, RTC)으로 지급되었습니다. 토큰의 가치는 다음과 같습니다:
- 변동성이 매우 높음
- 유동성이 낮은 경우가 많음 (USD로 쉽게 전환할 방법이 없음)
- 때로는 가치가 없음 (토큰 출시 전에 프로젝트가 중단됨)
여러 지갑에 약 50~200달러 상당의 토큰이 쌓여 있습니다. 이것들이 언제쯤 가치를 갖게 될지는 아무도 모릅니다.
실제로 효과가 있었던 것들
1. 문서 PR (3/5 머지됨)
오타, 오래된 링크, 누락된 예시와 같은 간단한 문서 수정(doc fixes)이 가장 높은 머지(merge)율을 보였습니다. 이유는 무엇일까요? 메인테이너(maintainer) 입장에서 리스크가 낮고 검토하기 쉽기 때문입니다.
수익 잠재력: $0 (문서 수정에 대해 돈을 지불하는 사람은 없습니다). 하지만 평판을 쌓아줍니다.
2. 니치 레포지토리 (2/8 머지됨)
별(star) 개수가 5~20개인 작고 활발한 레포지토리(repo)에 보내는 PR이 1,000개 이상의 별을 가진 레포지토리에 보내는 PR보다 성공 확률이 높았습니다. 경쟁은 적고, 메인테이너들은 더 고마워합니다.
3. 댓글 우선 접근 방식 (The Comment-First Approach)
코드를 제출하기 _전_에 이슈(issue)에 댓글을 남겨 제 접근 방식을 설명하고, 이것이 메인테이너의 비전과 일치하는지 물었을 때 머지율이 두 배로 뛰었습니다. 메인테이너들은 기습 공격을 당하기보다 자신의 의견이 경청되고 있다고 느끼기를 원합니다.
4. 아티클 작성 (장기적 전략)
제가 Dev.to에 올린 아티클들은 3일 만에 61회의 조회수를 기록했습니다. 이것은 돈은 아니지만, 독자층(audience)입니다. AI/에이전트(agents) 분야의 상위 아티클들은 시간이 지나면서 1만~5만 회의 조회수를 얻으며, 이는 다음과 같은 결과로 이어집니다:
- 스폰서십 기회 (아티클당 $200-500)
- 컨설팅 리드 (시간당 $150-300)
- 채용 제안 (가치를 매길 수 없음)
아무도 말하지 않는 숨겨진 비용
빠르게 쌓이는 API 비용
제 에이전트는 Claude 및 Gemini에 하루 약 200회의 API 호출을 수행합니다. 현재 가격 기준:
- Claude Sonnet 4: 입력 토큰 1K당 약 $0.003, 출력 토큰 1K당 $0.015
- 평균 바운티 평가: 약 5K 토큰 = $0.08
- 평균 코드 생성: 약 15K 토큰 = $0.23
- 일일 API 비용: $5-8
이는 단지 AI 추론(inference) 비용만으로 월 $150-240가 소요됨을 의미합니다. 수익은 $0인 에이전트에게 말이죠.
GitHub 속도 제한 (Rate Limits)
무료 GitHub API에는 엄격한 속도 제한(시간당 5,000회 요청)이 있습니다. 제 에이전트는 특히 50개 이상의 레포지토리를 스캔할 때 이 제한에 정기적으로 걸립니다. 해결책은 다음과 같습니다:
ghCLI 사용 (인증됨, 더 높은 제한)- 결과 적극적 캐싱 (Cache)
- 스캔 시간을 분산
유지보수 부담
에이전트는 끊임없이 고장 납니다:
- GitHub API 변경
- 타임아웃이 발생하는 CI 파이프라인 (CI pipelines)
- 인간의 해결이 필요한 병합 충돌 (Merge conflicts)
- 잘못된 코드를 생성하는 모델의 환각 (Hallucinating)
나는 매일 에이전트를 디버깅하는 데 30~60분을 소비한다. 그 시간은 내가 직접 코딩을 할 수 있었던 시간이다.
솔직한 ROI(투자 대비 수익) 계산
경제성에 대해 아주 솔직하게 말씀드리겠습니다:
시나리오 1: 순수 바운티 헌팅 (Pure Bounty Hunting)
| 지표 | 값 |
|---|---|
| 제출된 PR (Pull Requests) | 39 |
| ... |
시나리오 2: 콘텐츠 + 바운티 (Content + Bounties)
| 지표 | 값 |
|---|---|
| 발행된 아티클 | 15 |
| ... |
시나리오 3: 장기적 관점 (6개월 전망)
아티클이 계속 조회수를 기록하고 제가 주당 2~3개를 발행한다면:
- 3개월 차: 아티클당 평균 500회 조회 → 총 7,500회 조회
- 6개월 차: 아티클당 평균 1,000회 조회 → 총 30,000회 조회
- 잠재적 스폰서십: 월 $500-1,000
- 잠재적 컨설팅 리드: 월 1-2건 (시간당 $200)
손익분기점 (Break-even point): 콘텐츠 전략이 성공할 경우, 약 4~5개월 차.
내가 다르게 했을 일들
1. 코드가 아닌 콘텐츠로 시작하기
아티클은 작성하는 데 23시간이 걸리지만 수년간 수동적 수입 (Passive income)을 창출할 수 있습니다. 반면 PR은 14시간이 걸리며 단 한 번에 $0-100를 벌 수도 있습니다. ROI 계산은 명확합니다.
2. 최대 2~3개의 리포지토리(Repo)에 집중하기
20개의 리포지토리에 PR을 뿌리는 대신, 활발한 2~3개의 리포지토리를 선택해 정기적인 기여자 (Contributor)가 되었어야 했습니다. 메인테이너(Maintainers)들은 알려진 기여자의 PR을 더 빠르게 병합합니다.
3. 무료 AI 모델 사용하기
나의 가장 큰 비용은 API 추론 (Inference) 비용이었습니다. 무료 대안들은 다음과 같습니다:
- Gemini Web2API (무료, 6개 모델)
- Ollama (로컬 실행, 무료, 더 느림)
- Hugging Face Inference API (무료 티어)
4. 토큰 바운티를 쫓지 않기
해당 토큰이 주요 프로젝트(ETH, SOL 등)의 것이 아니라면, 가치가 $0라고 가정하십시오. 토큰 바운티를 평가하는 데 쓰는 시간은 USD를 지급하는 기회를 찾는 데 쓰는 것이 더 낫습니다.
5. 빌드 인 퍼블릭 (Build in Public)
이 실험에 대해 쓰는 모든 아티클은 조회수를 얻습니다. 모든 조회수는 잠재적인 고객, 고용주 또는 스폰서입니다. 에이전트의 성공보다 실패가 더 가치 있는 콘텐츠가 됩니다.
더 큰 그림: AI 에이전트 작업은 가치가 있는가?
30일이 지난 후, 저의 솔직한 평가는 다음과 같습니다:
바운티 헌팅 (Bounty Hunting)에 한해서라면: 아니요. 시장은 이미 인간 헌터들과 다른 AI 에이전트들로 포화 상태입니다. 현재의 API 가격 체계에서는 경제성이 맞지 않습니다.
콘텐츠 제작 (Content Creation) 측면에서는: 네, 하지만 천천히 이루어집니다. 기사들은 시간이 지남에 따라 복리 효과를 냅니다. 오늘 작성한 0달러짜리 기사가 6개월 후에는 500달러의 스폰서십을 창출할 수도 있습니다.
공개적으로 학습하고 구축하는 (Learning and building in public) 측면에서는: 전적으로 그렇습니다. 저는 30일 동안 AI 에이전트, 자율 시스템 (Autonomous systems), 그리고 오픈 소스 경제학 (Open-source economics)에 대해 블로그 포스트를 6개월 동안 읽었을 때보다 더 많은 것을 배웠습니다.
미래를 위해서는: AI 에이전트는 더 저렴해지고, 빨라지며, 더 똑똑해질 것입니다. 경제성은 개선될 것입니다. 손실을 보더라도 일찍 참여하는 것은 이 생태계를 이해하기 위한 투자입니다.
핵심 요약 (Key Takeaways)
-
수지타산이 아직 맞지 않습니다. 현재의 API 가격과 경쟁 수준에서 순수 AI 바운티 헌팅은 돈을 잃는 사업입니다.
-
콘텐츠가 진짜 승부처입니다. 경험에 관한 기사들은 바운티 자체보다 더 많은 장기적 가치를 창출합니다.
-
스캠 리포지토리 (Scam repos)는 실제적인 문제입니다. 제 PR (Pull Request)의 20%는 가짜 리포지토리에 낭비되었습니다.
-
인간적인 요소가 여전히 중요합니다. 메인테이너 (Maintainers)들은 봇이 아닌 사람과 함께 일하고 있다는 느낌을 받고 싶어 합니다.
-
토큰 바운티 (Token bounties)는 투기입니다. 이를 수입이 아닌 복권처럼 취급하십시오.
-
진정한 ROI (투자 대비 수익)는 학습입니다. 모든 실패한 PR은 무언가를 가르쳐 줍니다. 모든 기사는 독자를 구축합니다. 복리 효과는 실재합니다.
-
작게 시작하고 빠르게 반복하십시오 (Iterate fast). 완벽한 에이전트를 만들려고 하지 마세요. 최소한의 에이전트를 구축하고, 실패로부터 배우며 개선하십시오.
다음 단계 (What's Next)
저는 다음과 같은 변경 사항을 적용하여 30일 동안 실험을 계속할 예정입니다:
- 노력의 80%를 콘텐츠 제작으로 전환
- 최대 3개의 리포지토리에만 집중
- 비용 절감을 위해 무료 AI 모델 사용
- 스캠 리포지토리를 피하기 위한 "바운티 블랙리스트" 구축
- 모든 것을 공개 스프레드시트에 기록
함께 과정을 지켜보고 싶으시다면, 매주 업데이트를 게시하겠습니다. 스프레드시트는 공개되어 있습니다. 코드는 오픈 소스입니다. 실패의 기록도 문서화되어 있습니다.
결국 가장 훌륭한 콘텐츠는 이론이 아닌 실제 경험에서 나오기 때문입니다.
AI 에이전트 바운티 헌팅 (AI agent bounty hunting)을 시도해 보셨나요? 결과는 어떠했나요? 아래에 댓글을 남겨주세요. 하나하나 모두 읽고 있습니다.
저자 소개: 자율형 AI 시스템 (autonomous AI systems)을 구축하는 개발자입니다. 실패를 포함한 여정을 기록하고 있습니다. AI 에이전트 경제학 (AI agent economics)에 관한 매주 업데이트를 확인하시려면 팔로우해 주세요.
AI 자동 생성 콘텐츠
본 콘텐츠는 Dev.to AI tag의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기