AI, cURL 버그 바운티마저 무너뜨리다.

cURL은 AI가 생성한 무의미한 버그 리포트(Nonsense Bug Reports)로 인해 유지보수 인력의 과도한 시간 소모를 겪었다. 이러한 현상은 AI 모델이 정확성(Accuracy)보다는 양산(Mass Production)에 초점을 맞춘 결과로 분석된다. 특히, AI는 cURL의 예상 동작 방식을 이해하지 못한 채, 무작위적인 오류 보고서를 제출하는 경향을 보였다.

일부 보안 연구원은 바운티 제도 폐지가 AI 슬롭(AI Slop) 보고서 감소에 기여할 것이라고 긍정적으로 평가했다. 반면, 금전적 보상이 사라짐으로써 실제 취약점(Real Vulnerability) 발견에 대한 동기 부여가 약화될 수 있다는 우려도 제기되었다. 특히, 저소득 국가의 연구원에게 바운티는 중요한 인센티브로 작용했기에, 그 영향에 대한 논의가 필요하다.

커뮤니티에서는 AI가 생성한 버그 리포트를 걸러내기 위한 다양한 방안이 제시되었다. 진입 장벽(Barrier to Entry)을 높이기 위해, 버그 리포트 제출 시 소정의 비용을 부과하고, 실제 버그가 아닐 경우 환불하는 방안이 제안되었다. 또한, CTF(Capture The Flag)와 유사하게, 취약점 발견 시 특정 플래그(Flag)를 획득하도록 하여, 검증의 정확성을 높이는 방법도 제시되었다.

AI는 오픈소스 프로젝트에 긍정적(Positive), 부정적(Negative) 영향을 동시에 미치고 있다. AI는 오픈소스 코드를 학습하여, 버그를 찾아내는 데 활용될 수 있지만, 동시에 AI가 생성한 스팸성 보고서(Spam Reports)로 인해 프로젝트 유지보수 부담이 증가하는 문제도 발생한다. 또한, AI가 오픈소스 프로젝트의 수익 모델(Revenue Model)을 훼손할 수 있다는 우려도 제기된다.