나는 #1 GitHub 저장소를 스캔했고, 여기 내가 찾은 것이 있습니다

Source: Dev.to

OpenClaw는 250,000개의 스타를 보유하고 있으며 GitHub 역사상 가장 빠르게 성장하는 오픈 소스 프로젝트입니다. Jensen Huang은 이를 “다음 ChatGPT”라고 불렀습니다. Peter Steinberger는 개인 에이전트를 이끌기 위해 OpenAI에 고용되었습니다.

저는 기능이 아니라 코드 품질을 살펴보기 위해 내부를 들여다보았습니다.

30초 만에 찾은 내용

• 355개의 빈 catch 블록 – 이메일, 캘린더, 계정을 관리하는 가장 인기 있는 AI 에이전트가 오류를 조용히 무시합니다. git 커밋이 실패하거나, 동기화가 중단되거나, API 키가 만료될 때 로그, 경고, 추적이 전혀 이루어지지 않아 데이터 손실이 조용히 발생합니다.
• 564개의 잠재적 하드코딩된 자격 증명 – 프로젝트는 구성 파일에 API 키를 붙여넣으라고 요구합니다. 보안 연구자들이 이를 지적했지만, 코드베이스에는 비밀이 환경 변수 대신 직접 코드에 삽입된 수백 개의 위치가 여전히 존재합니다.
• 335개의 console.log 문 – 프로덕션에 포함된 디버그 출력으로, 사용자가 DevTools를 열면 정보를 누출합니다.
• 449개의 이중 타입 단언 (as unknown as) – TypeScript 타입 시스템을 제대로 고치지 않고 강제로 우회한 경우입니다.

비교 대상

• n8n (162 K 스타, 워크플로 자동화)

  • 939개의 @ts-ignore 지시문 – TypeScript 검사를 단순히 끈 경우가 거의 천 건에 달합니다.
  • 206개의 빈 catch 블록.
  • 696개의 타입이 지정되지 않은 변수.

• Tolaria (1.4 K 스타, 코드 품질 9.9/10)

  • 중요한 경로(git 작업, 자동 동기화)에서 10개의 빈 catch 블록.
  • @ts-ignore 없음.
  • console.log는 1개뿐.
  • “9.9/10” 평점은 가장 중요한 코드 경로에서 발생하는 조용한 실패를 놓치고 있습니다.

이것이 의미하는 바

• 스타 수는 코드 품질을 의미하지 않는다. 가장 인기 있는 프로젝트가 중요한 코드 라인당 가장 많은 문제를 가지고 있습니다. GitHub 스타는 hype를 측정할 뿐, 신뢰성을 측정하지 못합니다.
• AI‑생성 코드에는 감시가 필요하다. 최근 보안 평가에 따르면 AI‑생성 코드베이스의 92 %가 최소 하나의 심각한 취약점을 포함하고 있습니다. 이러한 프로젝트는 빠르게 구축되지만 조용한 실패 패턴에 대한 검토는 거의 이루어지지 않습니다.
• 빈 catch 블록이 새로운 기술 부채다. TODO 주석보다 찾기 어려운데, 신호가 전혀 없기 때문입니다. 모니터링은 녹색을 보여주지만 사용자는 데이터를 잃게 됩니다.
• 수정은 보통 사소하다. .catch(() => {})를 .catch(err => console.warn('[context]', err))로 교체하면 됩니다. 한 줄이면 완전한 가시성을 확보할 수 있습니다.

두 프로젝트에 PR을 제출했습니다. 두 PR 모두 CI에 의해 자동으로 받아들여졌습니다. 수정 내용은 최소했으며—동작 변화 없이 오류 가시성만 추가했습니다.

결론

코드 품질은 버그가 전혀 없는 것이 아니라, 무언가가 깨졌을 때 이를 알 수 있는가에 달려 있습니다.