Log4j, AI가 생성한 보안 보고서 스팸에 '선별 대응' 선언
Log4j 프로젝트, 2025년 12월부터 AI 기반의 보안 보고서 스팸(Security Report Spam) 급증
기존 대비 수십 배 증가한 보고서 양으로 인해 자원 소모(Resource Consumption) 심화
AI 생성 보고서의 낮은 품질로 인해 유효한 취약점 발견율(Vulnerability Discovery Rate) 저조
Log4j PMC는 AI 보고서에 대한 우선순위 분류(Priority Classification) 및 대응 시간 제한 발표
AI 기반 보안 보고서 스팸의 문제점
게시물에 따르면, 2025년 12월 이후 Log4j 프로젝트에 접수되는 보안 보고서의 양이 급증했으며, 대부분 AI에 의해 생성된 것으로 추정된다. 특히, 2024년 7월부터 2025년 11월까지 32건의 보고서 중 3건의 취약점만 공개된 반면, 2025년 12월부터 2026년 2월까지 50건 이상의 보고서가 접수되었다. 이는 유효한 취약점 발견율(Vulnerability Discovery Rate)의 감소로 이어져, 개발자들의 자원 낭비를 초래한다.
AI 보고서 대응을 위한 우선순위 분류
Log4j PMC는 AI가 생성한 보고서에 대한 대응 전략으로 우선순위 분류(Priority Classification)를 제시했다. 심각한 문제로 판단되는 보고서에 대해서는 즉시 대응하고, 그렇지 않은 보고서는 처리 시간을 늦추는 방식이다. 이는 한정된 자원을 효율적으로 사용하고, AI-SLOP(AI-generated Slop)으로 인한 과도한 자원 소모를 방지하기 위한 조치로 보인다.
AI 보고서 스팸 문제의 생태계 영향
Log4j 외에도 curl 프로젝트가 유사한 문제로 버그 바운티 프로그램을 중단했으며, OpenSSF Vulnerability Handling Working Group에서 관련 문제 해결을 위한 논의를 시작했다. 이는 AI 기반 보안 보고서 스팸이 특정 프로젝트의 문제를 넘어 오픈소스 생태계 전반(Open Source Ecosystem)에 영향을 미치는 문제임을 시사한다. 따라서, 생태계 차원의 대응 방안 마련이 시급하다.
개발자 자원 보호를 위한 임시 방안
Log4j PMC는 AI 보고서 대응에 할애하는 시간을 제한하는 임시 방안을 발표했다. 이는 개발자들이 AI가 생성한 낮은 품질의 보고서에 과도하게 시간을 쏟는 것을 방지하고, 핵심 취약점 분석(Core Vulnerability Analysis)에 집중할 수 있도록 하기 위함이다. 또한, AI 보고서의 품질을 평가하고, 자동화된 필터링 시스템(Automated Filtering System)을 구축하는 방안도 고려해야 한다.
![[Log4J] Addressing AI-slop in security reports](https://static.devday.kr/thumbnails-w1200/reddit-programming-1rg9p7u-38f2ead8.webp)
