리누스 토발즈, AI 도구 쓰는 버그 헌터들에 일침

Source: Byline Network

배경

• 2024년 4월 17일, 토발즈는 리눅스 7.1 RC4 배포 문서에서 “AI 기반 버그 보고서가 계속해서 쏟아지면서 보안 목록 관리가 거의 불가능해졌다”고 지적했습니다.
• 동일한 도구를 사용하는 사람들 사이에서 중복 보고가 급증하고 있어, “같은 문제를 여러 번 보고하는 경우가 엄청나다”고 강조했습니다.
• 그는 “사람들은 담당자에게 문제를 전달하거나 이미 일주일·한 달 전에 수정됐다고 말하며 공개 토론을 참조하라고 하는 데 시간을 허비하고 있다”고 비판했습니다.

토발즈의 주요 발언

• AI가 발견한 버그는 본질적으로 비밀이 아니다

  • 비공개 목록에서 처리하면 보고자들이 서로의 보고서를 볼 수 없어 중복이 더욱 악화되고, 관련된 모든 사람에게 시간 낭비가 발생한다는 점을 강조했습니다.

• 지난달 리눅스 7.0 정식버전 배포 시에도 같은 문제 언급

  • “AI 도구 사용으로 인해 예외적인 상황들이 계속 발견될 것으로 예상된다. 당분간은 이런 상황이 새로운 정상일 수 있다”고 전망했습니다.

AI 버그 헌터 현황

• 올해 들어 리눅스 커널에 AI 도구를 사용한 보안 보고서 제출이 급증하고 있습니다. 이를 “AI 슬롭 현상”이라고 부릅니다.
• 커널 유지관리자 그렉 크로아‑하트만은 security-bugs.rst 파일에 문서 업데이트를 진행하는 풀리퀘스트를 제출했습니다.

“AI 도구와 실제로 문서를 읽는 사용자가 더 나은 보안 버그 보고서를 보내는 방법을 안내한다” – 그렉 크로아‑하트만

오픈소스 유지관리자들의 대응

RPCS3 (플레이스테이션 3 에뮬레이터)

• 최근 X포럼에서 **“AI 관련 엉터리 코드 풀리퀘스트를 제출하지 말라”**는 요청과 함께, 이런 행위를 하는 사용자를 비공개로 차단하겠다고 발표했습니다.
• “온라인에 디버깅·코딩 자료가 많으니, 이해하지 못하고 작동하지도 않는 코드를 작성하는 데 시간을 낭비하지 말라”고 강조했습니다.

Godot 엔진

• 프로젝트 매니저 레미 베르셸은 연초에 “AI가 생성한 PR이 넘쳐나서 엉터리 PR을 처리하기 위해 관리자를 추가로 고용하는 것을 고려하고 있다”고 밝혔습니다.

전반적인 문제

• AI 도구는 비개발자도 코드를 빠르게 생성하게 하지만, 코드 의미를 이해하지 못한 채 PR을 제출하는 경우가 급증하고 있습니다.
• 소수의 전담 유지관리자가 감당하기 힘든 규모의 PR이 지속적으로 들어오면서, 작년 말 Reddit에서도 “AI 슬롭 PR”에 지친 사용자들의 글이 큰 반향을 일으켰습니다.

토발즈의 조언

• “AI 도구는 훌륭하지만, 불필요한 고통과 무의미한 작업을 야기하기보다는 실제로 도움이 될 때만 가치가 있다.”
• 생산적이고 더 나은 경험을 제공하는 방식으로 AI 도구를 사용하라.
• “AI 도구로 버그를 발견했다면 다른 누군가도 같은 버그를 발견했을 가능성이 높다. 진정으로 가치를 더하고 싶다면 문서를 읽고 패치를 만들어 AI가 수행한 작업에 실질적인 가치를 더하라.”
• “제대로 된 이해 없이 무작위로 버그 보고서를 보내는 사람이 되지 말라.”

글: 바이라인네트워크
김우용 기자 – yong2@byline.network