
AI 슬롭(Slop)이 버그 바운티를 망칠 때: curl 메인테이너의 접근 방식
요약
curl 프로젝트가 AI로 생성된 허위 보안 보고서(AI Slop)의 급증으로 인해 보안 보고서 접수를 일시 중단했습니다. LLM을 통한 보고서 생성 비용은 낮아진 반면, 이를 검증하는 인간의 비용은 여전히 높아 오픈소스 생태계의 트리아지 프로세스가 위협받고 있습니다.
핵심 포인트
- AI 생성 허위 보고서로 인해 curl의 취약점 발견율이 15%에서 5% 미만으로 급락
- 낮은 생성 비용과 높은 검증 비용 사이의 비대칭성이 보안 생태계의 문제 유발
- 자동화된 스팸 보고서가 오픈소스 메인테이너의 업무를 방해하는 DOS 공격으로 작용
- HackerOne 등 주요 보안 플랫폼에서도 AI 노이즈 대응을 위한 조치 시행 중
사건 발생
2026년 7월 1일부로 curl 프로젝트는 보안 보고서 접수를 공식적으로 중단했습니다. 이는 부분적인 중단이나 일시적인 휴식이 아닙니다. 2026년 8월 3일까지 HackerOne과 전용 보안 이메일 주소를 포함한 모든 채널이 사실상 폐쇄되었습니다. 프로젝트의 리드 메인테이너(Lead Maintainer)인 Daniel Stenberg는 이 시기를 "curl의 축복 같은 여름(curl summer of bliss)"이라고 명명하며, 지속 불가능한 수준의 AI 생성 노이즈로 인한 직업적 번아웃(Burnout)을 방지하기 위해 팀이 키보드에서 물러나 휴식을 취하고 있음을 강조했습니다.
노이즈의 경제학
수년 동안 curl은 보고서의 약 15%가 확인된 취약점으로 이어지는 건강한 트리아지(Triage, 우선순위 선정) 프로세스를 유지해 왔습니다. 그러나 2025년에 이르러 그 수치는 5% 미만으로 급락했습니다. Stenberg는 정점일 때 유입되는 모든 보고서의 거의 20%가 존재하지 않는 함수, 가상의 코드 경로, 또는 이미 수년 전에 해결된 취약점을 인용하며 조작된 "AI 슬롭(AI slop)"이었다고 추정합니다.
핵심 문제는 비용 비대칭성의 변화에 있습니다:
- 생성 비용 (Generation Cost): LLM(대규모 언어 모델)을 사용하면 그럴듯하게 들리는 CVE 보고서를 식별하고 작성하는 데 드는 비용이 이제 거의 제로에 가깝습니다.
- 검증 비용 (Verification Cost): 주장을 검증하고, 코드를 검토하며, 개념 증명(Proof of Concept, PoC)을 테스트하는 데에는 여전히 이전과 동일하게 높은 수준의 인간 전문 지식이 필요합니다.
트리아지에 대한 DDOS
Stenberg는 이러한 자동화된 보고서의 범람을 프로젝트의 트리아지 역량에 대한 서비스 거부 공격(Denial-of-Service, DOS)이라고 솔직하게 언급했습니다. 7명으로 구성된 자원봉사 팀은 수동 검증이 필요한 자동화된 보고서 스트림을 도저히 감당할 수 없습니다.
초기에 curl은 다음과 같은 방식으로 이를 관리하려고 시도했습니다:
- 명백한 AI 흔적을 제출하는 계정을 차단함.
- 2026년 1월 31일에 유료 HackerOne 버그 바운티 프로그램을 종료함.
이러한 노력에도 불구하고 그 양은 계속해서 증가했습니다. 금전적 인센티브를 제거했음에도 스팸이 줄어들지 않은 이유는, 많은 생성기(generators)가 수익 동기 없이 작동하며 잠재적으로 평판을 쌓거나 이력서(resume)를 꾸미기 위해 움직이기 때문입니다. 그 결과, 메인테이너(maintainer)들이 실제 위험을 수정하는 대신 AI가 생성한 허구(fiction)를 읽는 데 제한된 시간을 강제로 소비해야 하는 망가진 분류(triage) 파이프라인이 초래되었습니다.
확장성 문제 (The Scalability Problem)
이는 특정 프로젝트에 국한된 이상 현상이 아닙니다. 더 넓은 개발자 커뮤니티에서도 동일한 패턴이 목격되고 있습니다:
- HackerOne IBB: Internet Bug Bounty 프로그램은 모델들이 취약점 발견에 능숙하다는 것이 증명된 후, 2026년 3월에 새로운 제출을 일시 중단하고 조치(remediation)에 집중하는 방향으로 전환했습니다.
- CVE 성장: Sonatype의 2026년 소프트웨어 공급망 상태(State of the Software Supply Chain) 보고서에 따르면, 점수가 매겨지지 않은 CVE의 수가 5년 만에 37배 증가했습니다.
'축복의 여름(summer of bliss)'은 새로운 현실에 맞선 구조적 방어입니다. curl은 접수를 중단함으로써 경계선을 설정하고 있으며, 오픈 소스 프로젝트가 자신을 타겟팅하는 모든 자동화된 봇에 대해 즉각적이고 24시간 내내 보안 대응을 제공해야 한다는 기대보다 메인테이너의 건강을 우선시하고 있습니다.
만약 당신이 인기 있는 저장소(repository)를 관리하고 있다면, 데이터는 당신의 분류(triage) 대기열이 수용 능력을 초과하는 시나리오에 대비해야 함을 시사합니다. LLM(대규모 언어 모델)에 의해 '보고서'를 만드는 장벽이 완전히 제거된 상황에서, '항상 켜져 있는(always on)' 모델에 의존하는 것은 점점 더 어려워지고 있습니다.
참고 문헌 (Reference)
curl의 축복의 여름: 왜 2026년 7월에 버그 보고 접수를 중단했는가
AI가 생성한 '슬롭(slop)' 보고서로 인해 확인된 취약점 비율이 5% 미만으로 떨어지자, curl은 2026년 7월 한 달 동안 모든 취약점 보고를 거부하고 있습니다. 여기 그 타임라인과 수치, 그리고 이것이 왜 단일 프로젝트 이상의 문제인지에 대한 내용이 담겨 있습니다.
AI 자동 생성 콘텐츠
본 콘텐츠는 Dev.to AI tag의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기