Node.js는 AI 생성 코드를 금지하고 싶어 합니다. 그래야만 합니다.

Node.js TSC 멤버인 Matteo Collina가 19,000줄에 달하며 대부분 AI가 작성한 Node.js 코어(core) 대상 풀 리퀘스트(Pull Request, PR)를 제출했습니다. 저자는 모든 변경 사항을 직접 검토했다고 주장하지만, 현재 프로젝트에서 기계가 작성한 코드를 완전히 금지하자는 청원이 진행 중입니다.

솔직히 말해서요? 좋습니다.

무슨 일이 일어났나

오랫동안 Node.js 기여자(contributor)로 활동해 온 Fedor Indutny는 Node.js 코어에서 AI가 작성한 코드를 금지하자는 청원을 시작했습니다. 이는 거의 19,000줄에 달하는 VFS 풀 리퀘스트(pull request)가 촉발한 사건으로, 그 내용의 대부분은 AI에 의해 작성되었습니다.

그 숫자를 잠시 생각해 보십시오. 지구상에서 가장 중요한 런타임(runtime) 중 하나에 19,000줄이 삽입되는 것입니다. 인터넷의 상당 부분에 보이지 않게 연료를 공급하는 인프라 말입니다.

아무도 이것을 검토할 수 없습니다

핵심 문제는 이것입니다: 기계가 인간이 읽는 속도보다 더 빠르게 풀 리퀘스트(pull request)를 생성할 수 있다면, 코드 리뷰(code review)는 확장성을 가질 수 없습니다.

숙련된 메인테이너(maintainer)는 한 번 앉은 자리에서 몇 백 줄을 주의 깊게 검토할 수 있습니다. 카페인을 섭취하고 화가 난 상태라면 천 줄 정도일지도 모릅니다. 19,000줄은 PR이 아닙니다. 그것은 인질 상황입니다. 🫠

→ AI는 무한한 속도로 코드를 생성할 수 있습니다.
→ 인간은 여전히 인간의 속도로 검토합니다.
→ 병목 현상(bottleneck)은 생성이 아니라 이해에 있습니다.

만약 그 정도 양을 자원봉사 메인테이너(maintainer)들에게 떠넘긴다면, 그것은 기여하는 것이 아니라 자신의 노동을 타인에게 전가하는 것입니다. 그리고 Node.js와 같은 프로젝트에서 모호한 버그는 단순한 실패가 아니라 공급망 위기(supply chain crisis)입니다.

아무도 이야기하지 않는 법적 혼란

이제 흥미로운 부분입니다. 많은 오픈 소스(open source) 프로젝트는 기여자 라이선스 동의서(Contributor License Agreement, CLA)라고 불리는 것에 서명할 것을 요구합니다. 간단히 말해, 당신은 다음과 같이 명시하는 것입니다: "이것은 나의 작업물이며, 나는 이것을 기여할 권한이 있고, 프로젝트에 이를 사용할 수 있는 라이선스(license)를 부여합니다."

CLA는 AI 생성 코드를 위해 설계된 적이 없습니다. 수백만 개의 저장소(repository)를 학습한 모델의 결과물은 누가 소유할까요? 머신 러닝(machine learning) 모델이 인터넷 전체에서 수집한 무언가를 당신이 기여할 수 있다고 어떻게 보증할 수 있을까요?

→ 당신이 직접 작성하지 않았다면, 그것에 대해 CLA (Contributor License Agreement)에 서명할 수 있습니까?
→ 만약 모델이 저작권이 있는 코드를 그대로 재생산(regurgitates)한다면, 누구에게 책임이 있습니까?
→ 만약 아무도 모른다면, 그것을 핵심 인프라(critical infrastructure)에 도입해도 될까요?

이러한 질문들은 단순히 이론적인 것이 아닙니다. 이는 현재 진행 중인 법적 모호성(legal ambiguities)입니다. 그리고 Node.js 코어(core)는 아마도 이러한 답을 고통스러운 방식으로 알아내기에 가장 좋지 않은 장소일 것입니다.

이것은 반(反) AI가 아닙니다

저는 항상 AI 도구들을 사용합니다. 프로토타이핑(prototyping), 아이디어 탐색, 그리고 아무도 깨어 있지 않은 새벽 2시에 러버덕(rubber-ducking)을 하는 데 매우 유용합니다. 저는 Copilot이 악마라고 말하려는 것이 아닙니다.

하지만, AI를 사고를 돕는 보조 도구로 사용하는 것과, 핵심 오픈 소스 프로젝트를 향해 겨눠진 코드 대포(code cannon)로 사용하는 것 사이에는 차이가 있습니다. 이 청원(petition)은 "AI는 나쁘다"라고 말하는 것이 아닙니다. "우리의 리뷰 프로세스(review process), 우리의 법적 프레임워크(legal framework), 그리고 우리의 거버넌스 모델(governance model)은 이것을 위해 구축되지 않았다"라고 말하는 것입니다. 🎯

이는 논리적으로 보입니다. 어쩌면 현재로서는 유일하게 합리적인 입장일지도 모릅니다.

향후 전망

Node.js가 이 싸움을 겪는 마지막 프로젝트가 되지는 않을 것입니다. 모든 주요 오픈 소스 재단(open source foundation)은 동일한 질문에 직면하게 될 것입니다: 우리가 검증할 수 있는 속도보다 기여(contributions)가 더 빠르게 도착할 때, 우리는 무엇을 해야 하는가?

어떤 프로젝트는 AI 생성 코드를 전면 금지할 것입니다. 다른 프로젝트는 공개(disclosure)를 요구할 것입니다. 어떤 곳은 이를 탐지하기 위한 툴링(tooling)을 구축하려고 시도할 것입니다. 그 어떤 해결책도 완벽하지는 않습니다.

하지만, 아무런 조치도 취하지 않고 19,000줄에 달하는 머신 생성 PR(Pull Request)이 자원봉사 메인테이너(maintainer)들의 리뷰 대기열에 쌓이도록 방치하는 것이 가장 해로운 선택입니다. 이는 이 시스템을 유지하는 사람들을 번아웃(burn out)시키며, 아직 아무도 완전히 이해하지 못한 리스크를 도입하는 일입니다.

Node.js 커뮤니티는 선을 긋고 있습니다. 저는 그들이 선을 긋는 것이 옳다고 생각합니다. 💪

오픈 소스 프로젝트는 기여자가 코드가 AI에 의해 생성되었음을 공개하도록 요구해야 할까요 — 아니면 코어(core)에서 이를 완전히 금지해야 할까요?