cURL, AI 슬롭과의 전쟁: 버그 바운티 종료, 증거 중심 기여 문화로 전환
cURL은 AI 슬롭(AI Slop) 증가로 인한 검토 예산(Review Budget) 낭비를 이유로 버그 바운티(Bug Bounty) 프로그램 종료
AI가 생성한 그럴듯한 제보(Report)가 늘어나면서 재현(Reproduction) 불가능한 문제로 인해 유지보수자의 부담 가중
cURL은 보상 중단, 해커원(HackerOne) 제거, AI 슬롭 계정 차단 등 제보 채널(Report Channel) 및 정책 재설계
Node.js는 신호 점수(Signal Score) 기반의 평판 시스템(Reputation System) 도입으로 검토 시작 문턱(Review Threshold) 설정
핵심은 ‘설명’이 아닌 ‘증거’ 제출, 즉 재현 가능한 증거(Reproducible Evidence) 중심의 기여 문화 정착 강조
AI 슬롭(AI Slop)의 등장과 오픈소스 운영의 위기
본문에서는 AI 슬롭(AI Slop)이 오픈소스 프로젝트의 검토 예산(Review Budget)을 갉아먹는 주요 원인임을 지적한다. AI의 발전으로 그럴듯한 보고서 작성이 쉬워지면서, 재현(Reproduction) 불가능하고 증거가 부족한 제보가 급증했다.
검토 시간 증가: 재현, 영향 범위, 테스트, 실패 시 대응 부재로 인해 유지보수자(Maintainer)의 검토 시간(Review Time) 증가
승인 책임(Approval Responsibility) 전가: 정보 공백(Information Gap)이 클수록 승인 책임자의 부담이 가중되며, 승인 이후 문제 발생 시 책임(Responsibility) 증가
운영 비용 증가: 검토 대기열(Review Queue) 증가, 응답 지연, 커뮤니케이션 비용 증가로 인해 오픈소스 프로젝트(Open Source Project) 운영에 악영향
결과적으로 AI 슬롭은 오픈소스 프로젝트의 지속 가능성을 위협하는 주요 요인으로 작용한다.
cURL의 대응: 채널 축소와 문턱 설정
cURL은 AI 슬롭(AI Slop) 문제 해결을 위해 버그 바운티(Bug Bounty) 프로그램을 종료하고, 제보 채널(Report Channel) 및 정책을 재설계했다. 이는 검토 예산(Review Budget)을 효율적으로 관리하고, 유지보수자의 부담을 줄이기 위한 전략적 선택이다.
보상 중단: 심각도와 관계없이 금전적 보상(Monetary Reward)을 전면 중단
채널 변경: 해커원(HackerOne) 제거 및 깃허브(GitHub) 비공개 취약점 제보 기능(Private Vulnerability Reporting)으로 전환
AI 슬롭 차단: AI 슬롭(AI Slop) 제출 계정 즉시 차단 및 공개 지적
이러한 변화는 ‘AI를 금지’하는 것이 아니라, 검증 가능한 제보(Verifiable Report)만 받도록 운영 방식(Operation Method)을 개선하는 데 초점을 맞춘 것이다.
Node.js의 평판 시스템(Reputation System) 도입
Node.js는 AI 슬롭(AI Slop)으로 인한 저품질 제보 증가에 대응하기 위해, 해커원(HackerOne) 제보에 신호 점수(Signal Score) 1.0 이상을 요구하는 정책을 도입했다. 이는 검토 시작 문턱(Review Threshold)을 설정하여, 검토 예산(Review Budget)을 효율적으로 관리하기 위한 조치이다.
평판 기반 필터링: 유효한 제보(Valid Report)를 꾸준히 해온 제출자(Submitter)를 우선 통과시키고, 문턱 아래의 제출자는 다른 방식으로 보안 팀과 접촉하도록 유도
검토 경로 재설계: 신규 제보자는 보안 릴리스 담당자에게 슬랙(Slack)으로 먼저 연락하도록 안내하여, 검토 예산이 가장 비싼 경로(Most Expensive Path)로 새 제보가 쏟아지는 상황 방지
운영 효율성 증대: 검토 예산(Review Budget)이 제한된 상황에서, “누가 어떤 통로로 들어오느냐” 자체가 문턱(Threshold) 역할을 수행
결과적으로 Node.js는 저품질 제보를 줄이고, 검토 효율성을 높이는 데 성공했다.
재현 가능한 증거(Reproducible Evidence) 중심의 기여 문화
AI 슬롭(AI Slop) 시대를 극복하기 위한 핵심은 ‘설명’이 아닌 ‘증거’를 제출하는 것이다. 즉, 재현 가능한 증거(Reproducible Evidence)를 중심으로 기여 문화를 구축해야 한다.
재현물(Reproduction) 중심: 텍스트 양식(Text Form)보다 재현 가능한 결과물(Reproducible Result) 제시를 요구
증거 기반 검토: 재현 절차, 기대 결과와 실제 결과, 영향 범위, 테스트, 실패 시 대응(Failure Response) 등 검토자가 판단(Judgment)할 수 있는 정보 제공
승인 책임 경감: 재현, 검증, 영향 범위(Impact Range)를 좁혀 승인 책임(Approval Responsibility) 경감
결론적으로, 기여자는 ‘무엇을 바꾸는지’와 ‘그 변화가 어디까지 영향을 주는지’를 충분히 이해하고, 승인 책임(Approval Responsibility)을 가볍게 만드는 방향으로 기여해야 한다.
오픈소스 생태계의 지속 가능성을 위한 제언
오픈소스 생태계의 지속 가능성을 위해서는 기여 문화의 변화가 필수적이다. 저품질 기여는 불쾌함의 문제가 아니라, 운영의 문제임을 인지하고, 검토가 시작되는 조건을 명확히 해야 한다.
검토 시작 조건 정의: 재현 가능성, 검증 가능성, 영향 범위, 실패 시 대응 등 승인 책임을 무겁게 만드는 빈칸(Information Gap) 정의
문턱 설정: 필수 정보 부재 시 검토를 시작하지 않고 보완 요청, 일정 기간 응답 없으면 정리하는 규칙 고정
기계 검증: 기본 테스트(Basic Test)나 자동 검증 절차(Automated Verification Procedure) 통과 시에만 사람의 검토 시작
우선순위 공개: 재현물, 근거, 영향 범위를 기준으로 우선순위 결정, 커뮤니케이션 비용(Communication Cost) 절감
결과적으로, 좋은 기여는 원인이 분명하고 불확실성을 줄인 제출물이며, 오픈소스 생태계의 지속 가능한 발전을 위해서는 이러한 노력이 필수적이다.
