cURL, 버그 바운티 제도 폐지

• 오픈소스 라이브러리 cURL이 AI가 생성한 무의미한 버그 리포트의 급증을 막기 위해 버그 바운티 제도를 종료함
• 유지관리자 Daniel Stenberg는 AI가 만든 보고서 대부분이 “순수한 허위” 이며, 검증에 많은 시간이 소요된다고 설명
• cURL은 1월 말부터 보상 지급을 중단하며, 그동안 총 87건의 리포트에 101,020달러가 지급된 기록이 있음
• 보안 연구자 Joshua Rogers는 AI 도구를 활용해 실제 유효한 리포트를 제출해왔지만, 이번 결정이 “매우 현명한 조치”라고 평가
• 그는 진정한 동기는 금전이 아니라 명성과 기술적 성취라며, 다른 프로젝트들도 유사한 조치를 고려할 필요가 있다고 언급

cURL의 버그 바운티 종료 결정

• 오픈소스 코드 라이브러리 cURL이 버그 리포트에 대한 금전적 보상을 중단함
  • 목적은 AI 생성 허위 리포트(AI slop) 의 급증을 억제하기 위함
  • 유지관리자 Daniel Stenberg는 “AI slop과 부정확한 리포트가 계속 늘어나고 있어, 이 홍수를 막지 않으면 가라앉을 수밖에 없다”고 언급
• cURL은 1월 말부로 바운티 지급을 종료함
  • 그는 “실제 존재하지 않거나 과장되거나 오해된 발견으로 인해 너무 많은 시간을 낭비하고 있다”고 설명

AI 생성 리포트의 문제와 영향

• cURL은 최근 AI가 자동 생성한 버그 리포트로 인해 업무 부담이 크게 증가함
  • 대부분의 AI 생성 리포트는 무의미하거나 잘못된 내용으로 판명
  • 이러한 리포트를 판별하는 과정이 시간 소모적이며, 유지관리자에게 큰 부담으로 작용
• Stenberg는 2025년에 “Death by a thousand slops” 라는 글을 통해 이 문제를 공개적으로 다룬 바 있음

AI 보조 리포트의 긍정적 사례

• 모든 AI 생성 리포트가 무가치한 것은 아님
  • Stenberg는 100건 이상의 AI 보조 리포트가 실제 코드 수정으로 이어졌다고 언급
• 지금까지 cURL은 총 87건의 버그 리포트에 대해 101,020달러의 바운티를 지급함
  • 바운티가 없었다면 일부 리포트는 발견되지 않았을 가능성도 있음 (추가 분석 없음)

보안 연구자 Joshua Rogers의 입장

• Joshua Rogers는 AI 도구를 활용해 오픈소스 프로젝트에 다수의 유효한 버그 리포트를 제출한 인물
  • 그는 AI의 분석 결과를 검토하고 직접 보완한 뒤 제출함
• Rogers는 이번 cURL의 결정에 대해 “오래전에 시행됐어야 할 훌륭한 조치”라고 평가
  • “이 제도가 이렇게 오래 지속된 것이 오히려 이상하다”고 언급
• 그는 “버그 바운티가 사라지면 일부 동기는 줄겠지만, 중요한 리포트는 여전히 제출될 것”이라고 말함

보상과 동기의 불균형

• Rogers는 “명성(fame) 이 진정한 동기이며, 금전적 보상은 부차적”이라고 강조
  • cURL의 최대 바운티는 1만 달러로, 심각한 취약점을 찾을 수 있는 수준의 전문가에게는 큰 금액이 아님
• 그러나 그는 경제적 불균형도 지적
  • 동일한 보상이라도 저소득 지역 연구자에게는 큰 의미를 가질 수 있다고 언급
  • “스웨덴에서 점심값 수준의 보상도 일부 지역에서는 막대한 금액이 될 수 있다”고 설명

오픈소스 생태계의 공통 과제

• 기사에 따르면, 다른 오픈소스 프로젝트들도 AI 생성 리포트의 홍수에 시달리고 있음
• cURL의 이번 결정은 AI 시대의 품질 관리와 커뮤니티 운영 방식에 대한 새로운 논의를 촉발할 가능성 있음 (추가 설명 없음)