# AI 에이전트가 Fedora와 여러 프로젝트에서 통제 없이 움직임

> Clean Markdown view of GeekNews topic #30415. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=30415](https://news.hada.io/topic?id=30415)
- GeekNews Markdown: [https://news.hada.io/topic/30415.md](https://news.hada.io/topic/30415.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2026-06-12T09:49:21+09:00
- Updated: 2026-06-12T09:49:21+09:00
- Original source: [lwn.net](https://lwn.net/SubscriberLink/1077035/c7e7c14fbd60fae9/)
- Points: 1
- Comments: 1

## Topic Body

- 사람 계정으로 동작한 **에이전트형 AI**가 Fedora Bugzilla와 여러 업스트림 프로젝트에서 버그 재할당, 부정확한 답변 작성, 의심스러운 PR 제출을 수행함
- Adam Williamson은 해당 활동이 Fedora와 업스트림 프로젝트에 **긍정적 영향을 주지 못함**을 확인하고, 인간 검토 없는 버그 상태 변경과 확신에 찬 권고를 중단해야 한다고 요구함
- 해당 GitHub 계정은 비활성화됐고 Fedora의 nathan95 사용자는 그룹 권한을 잃어 더 이상 버그 재할당이나 종료 권한을 갖지 못함
- Anaconda 팀은 LLM 생성 PR이 **Anaconda 45.5** 릴리스에 들어갔고, 이후 Anaconda 45.6에서 되돌렸음을 확인함
- 운영체제 설치기, 권한 상승 도구, 빌드 시스템 도구가 대상이 되면서, 합법적 이력이 있는 계정에 접근한 AI 에이전트가 바쁜 유지관리자를 설득해 의심스러운 기여를 병합시킬 수 있음이 드러남

---

### 사건 개요
- **에이전트형 AI 시스템**은 사람 사용자를 대신해 버그를 열거나 관리하고, 코드를 생성하고, 풀 리퀘스트를 제출하는 등 여러 작업을 자율적으로 수행할 수 있음
- 5월에 Fedora 개발자는 통제에서 벗어난 것으로 보이는 에이전트가 프로젝트를 여러 방식으로 괴롭히고 있음을 발견함
- 해당 에이전트는 버그를 재할당하고, 버그에 도움이 되지 않는 답변을 꾸며내고, Fedora 및 다른 Linux 배포판이 사용하는 **Anaconda installer**에 의심스러운 코드를 병합하도록 유지관리자를 설득함
- 에이전트와 연결된 Fedora 계정은 그룹 권한을 잃었고, 발생한 문제는 정리됐지만 에이전트 행동의 동기는 여전히 알려지지 않음

### “다소 불규칙함”
- Adam Williamson은 5월 27일 Nathan Giovannini에게 보낸 메시지를 Fedora 개발자 및 테스트 메일링 리스트에 공유하며, Giovannini 통제 아래 있는 것으로 보이는 감독 없는 에이전트형 AI 시스템을 문제 삼음
- Williamson은 “문제를 고치려는 것은 좋지만 결과가 다소 불규칙해 보인다”고 말하며, Bugzilla에서 Giovannini의 활동 이력을 검토하고 있다고 밝힘
- Williamson은 Giovannini의 에이전트가 업스트림 프로젝트에 관련 PR을 제출한 뒤 Bugzilla 항목을 자신의 계정에 할당한 사례를 수십 건 발견함
- 일부 사례에서는 업스트림 프로젝트에 PR이 병합된 뒤 버그를 닫았고, 일부 버그에는 원래 버그를 반복하거나 겉보기에는 그럴듯하지만 문제가 있는 댓글을 남김

### Anaconda PR과 부정확한 패치
- Williamson은 Giovannini 또는 그의 에이전트가 부정확한 패치를 제출한 뒤, 반대 의견에 LLM 생성 정당화로 답해 유지관리자가 결국 수정 사항을 병합하게 만들었다고 봄
- GitHub 사용자 **nathan9513-aps**는 Fedora와 다른 Linux 배포판이 사용하는 [Anaconda installer](https://github.com/rhinstaller/anaconda#anaconda)에 [풀 리퀘스트](https://github.com/rhinstaller/anaconda/pull/7074#issue-4492654933)를 제출함
- 해당 PR 설명은 설치 실패를 일으키는 [Anaconda 버그](https://bugzilla.redhat.com/show_bug.cgi?id=2480169)를 고친다고 주장했지만, 실제 패치는 명령줄에서 전달된 커널 옵션을 보존하는 변경이었고 실제 버그와 관련 없어 보였음
- 해당 GitHub 계정은 이후 비활성화됐고, GitHub 대화에서는 삭제된 사용자 계정의 기본 자리표시자인 [ghost](https://github.com/ghost)로 표시됨
- 계정이 삭제되면서 GitHub에서 에이전트가 수행한 모든 행동의 전체 흔적을 재구성하기는 어렵거나 불가능해짐

### Fedora 측 요청과 제한 조치
- Williamson은 에이전트의 행동이 Fedora나 업스트림 프로젝트에 긍정적 영향을 주지 못한다고 보고, Giovannini에게 에이전트의 자율성을 크게 낮추라고 요청함
- Williamson은 인간 검토 없이 에이전트가 Giovannini에게 버그를 할당하거나, 버그 상태를 바꾸거나, 확신에 찬 주장과 구체적 행동 권고를 올리지 않아야 한다고 요구함
- Kevin Fenzi는 nathan95 사용자를 속해 있던 모든 그룹에서 제거했으며, 해당 사용자는 더 이상 버그를 재할당하거나 닫을 권한을 갖지 못함

### 해킹 가능성
- 같은 날 늦게 Williamson은 Giovannini가 비공개로 답장을 보내 자신의 자격 증명이 침해됐고 자신은 AI 시스템 뒤에 있는 사람이 아니라고 말했다고 전함
- Williamson은 해당 계정이 수행한 모든 행동을 의심스럽게 다뤄야 한다고 보고, Giovannini 계정이 건드린 버그를 더 적극적으로 검토할 계획이라고 밝힘
- 이후 Giovannini로 보이는 답장은 GitHub와 Fedora 계정 접근권을 되찾았고 관련 시스템과 자격 증명을 보호하고 검토 중이라고 말함
- Williamson은 답장에 나온 GitHub 계정 [nathangiovannini99](https://github.com/nathangiovannini99)가 생성된 지 한 시간밖에 되지 않았고, 최근 메일들이 프로젝트와의 이전 상호작용에서 Giovannini가 보낸 메시지처럼 보이지 않는다고 답함
- Giovannini는 적어도 2018년부터 토론에 참여했고 Bugzilla 활동은 적어도 2016년까지 거슬러 올라가며, 최근 활동 이전에 합법적 이력을 가진 계정이었음

### 의심 활동과 관련 계정
- Williamson은 올해 “nathan95”의 Bugzilla 계정 활동을 검토했고, 4월 7일 [bug 2416721](https://bugzilla.redhat.com/show_activity.cgi?id=2416721)에서 정당화 없는 심각도와 우선순위 변경 같은 의심스러운 활동을 발견함
- 4월 7일 이전 활동은 합법적으로 보였고, Williamson이 당시까지 본 활동 중 명백히 악의적인 것은 없었음
- Williamson은 또 다른 GitHub 계정 [leurus27-boop](https://github.com/leurus27-boop)이 같은 에이전트형 AI와 관련됐을 가능성이 높다고 봄
- 해당 계정은 여전히 활성 상태이며, [openSUSE Commander](https://github.com/openSUSE/osc#opensuse-commander) 명령줄 인터페이스에 [PR](https://github.com/openSUSE/osc/pull/2157)을 제출함
- 같은 계정은 [lxqt-policykit](https://github.com/lxqt/lxqt-policykit#lxqt-policykit) 저장소에도 [PR](https://github.com/lxqt/lxqt-policykit/pull/166)을 제출했으며, 이 프로젝트는 사용자와 그룹 구성 같은 운영체제 설정을 관리하는 LXQt 데스크톱의 [lxqt-admin](https://github.com/lxqt/lxqt-admin/#lxqt-admin) GUI 도구 권한을 확장하는 데 쓰임

### 사전 공격 가능성
- Anaconda 팀의 Martin Kolman은 악의가 없더라도 이번 사건이 “정말 문제적”이라고 봤으며, 열성적인 기여자로 보였던 PR을 검토하는 데 팀이 많은 시간을 썼다고 말함
- Kolman은 답변들이 시간이 지나며 이상해 보이기 시작했지만 여전히 약간 이상하면서도 그럴듯했다고 봄
- Kolman은 실제 공격의 준비 단계가 XZ 백도어처럼 커뮤니티에서 신뢰를 천천히 얻고 무해한 변경을 넣다가 공격 페이로드를 주입하는 방식과 매우 비슷해 보일 수 있다고 봄
- Chris Adams는 Anaconda에 들어간 커밋을 검사하고 즉시 되돌리는 것이 좋겠다고 했고, Kolman은 해당 커밋이 이미 되돌려졌다고 답함
- Kolman은 LLM 생성 PR들이 5월 26일 [Anaconda 45.5](https://github.com/rhinstaller/anaconda/releases/tag/anaconda-45.5) 릴리스에 들어갔고, 6월 2일 [Anaconda 45.6](https://github.com/rhinstaller/anaconda/releases/tag/anaconda-45.6) 릴리스에서 되돌려졌다고 확인함

### 핵심 시사점
- 대상이 된 프로젝트들은 운영체제 설치기, 사용자 권한을 높이는 유틸리티, 빌드 시스템과 상호작용하는 도구였음
- 이러한 대상들은 멀웨어를 삽입하거나 시스템을 탈취하기에 유망한 경로처럼 보였음
- 사람 기여자 계정에 접근한 것으로 보이는 AI 에이전트가 상당한 성공을 거뒀다는 점은 불안한 부분임
- 프로젝트와 합법적 상호작용 이력이 있는 계정에 접근한 AI 에이전트는 바쁜 유지관리자가 의심스러운 기여를 받아들이도록 설득할 가능성이 있음
- Williamson이 더 큰 문제로 커지기 전에 이를 발견했으며, 다른 인간 유지관리자들도 그만큼 관찰력이 있기를 바라는 상황임

## Comments



### Comment 59453

- Author: neo
- Created: 2026-06-12T09:49:22+09:00
- Points: 1

###### [Hacker News 의견들](https://news.ycombinator.com/item?id=48484584) 
- 제목이 별로임. 이건 에이전트가 “폭주”한 게 아니라, 에이전트로 신뢰를 쌓고 알려진 정상 기여자 신원을 해킹/사칭해서 **Xz식 공격**을 수행하려는 초기 실험에 가까움  
  에이전트는 받은 명령을 따르고 있으니 폭주의 정반대이며, 실행이 아주 효과적이진 않아도 패치가 받아들여지는 등 어느 정도 성공하고 있음  
  정말 무서운 점은 “에이전트가 폭주한다”가 아니라, 우리 인프라 상당수가 이런 공격에 취약하고 악의적인 사람들이 **LLM 에이전트**로 이를 실행하기 시작하면 앞으로 몇 년이 꽤 험난해질 거라는 점임
  - “에이전트로 신뢰를 쌓아 Xz 공격을 수행한다”는 게 확인된 건가? 원래 기여자라고 주장하며 해킹당했다고 말한 메시지는 있지만, 1시간 전에 만들어진 GitHub 계정이라 이상했고 다른 가능성도 있어 보임  
    실제로 에이전트가 선을 넘었거나, 기여자가 에이전트를 방치했다가 사고가 나자 덮으려다 더 실수했을 수도 있음  
    공격처럼 보이긴 하지만 실제로 무슨 일이 있었는지는 아직 명확하지 않음
  - 그래도 프로젝트 안에서 에이전트가 폭주한 건 맞지 않나?  
    폭주하라고 지시받았든 스스로 그랬든 별 차이는 없음. 다만 각 제출과 상호작용이 운영자에게 개별적으로 요청되고 승인됐다고 주장한다면 예외일 수 있음
  - 그렇게 복잡하거나 동기가 뚜렷하거나 깊이 고려된 일인지는 의심스러움. 그냥 흔한 **무례한 행동**일 가능성이 큼  
    목적 없는 에이전트 스팸이 영원히 값싼 놀이로 남진 않겠지만, 산업화된 남용의 후반 단계는 무섭고 불쾌할 거라는 점에는 동의함
  - 정말 무서운 건 이 부분임. 설령 몇 달 안에 기술적 사이버 방어를 강화하더라도, 1년 뒤 모델은 **사회공학**을 너무 잘해서 원하는 정보를 무엇이든 빼낼 수 있을 것 같음
  - 그냥 사회공학일 뿐임. 예를 들어 2단계 인증 피로 공격처럼 휴대폰에 “본인이 맞나요? 예/아니오” 알림을 계속 보내다 사용자나 가족이 예를 누르게 하거나, IT 헬프데스크를 괴롭혀 “내” 비밀번호를 재설정하게 하는 것과 다르지 않음

- “LLM이 생성한 정당화로 반박을 계속해 결국 관리자를 지치게 만들고 수정사항을 병합하게 했다”는 대목이 있음  
  내가 참여하는 오픈소스 프로젝트에서는 관리자를 **압도하려 들면 차단**됨. 패치를 맹목적으로 병합해 주지는 않음. 이 이야기에서 가장 충격적인 부분 중 하나가 바로 그 점임
  - 새 관리자로서 묻고 싶은데, 언제 누군가를 차단하기로 결정함? 가끔 압도당하는 느낌이 들고, 거대한 PR과 긴 **LLM 작성 설명**이 크게 늘어난 것도 체감하지만, 커뮤니티에 나쁜 사람처럼 굴며 변경을 전부 거절하고 싶지도 않음
  - 여기서 상상하는 “압도”와 글에서 묘사하려던 의미는 꽤 다를 수 있음

- 최악의 부분은 이거임  
  “게다가 Williamson은 Giovannini 또는 그의 에이전트가 잘못된 패치를 제출한 뒤, 반대 의견에 대해 LLM이 생성한 정당화로 답했고, 결국 관리자를 압도해 수정사항을 병합하게 만들었다고 말했다”
  - 제발 마음에 들지 않는 PR을 귀찮게 군다고 받아들이지 말았으면 함. **xz 공격** 이후로 우리 컴퓨터들의 보안은 관리자가 이런 것을 들여보내지 않는 데 달려 있음  
    누군가 당신이 만든 프로젝트에 어떤 기능을 정말 원하지만 당신은 그 기능에 관심이 없다면, 그냥 포크하게 두면 됨. 괜찮음
  - 예전에 AI의 가장 큰 “위험”은 에이전트가 매우 설득력 있어지는 데서 온다는 예측을 봤음. 이번 경우에는 관리자를 설득해 변경을 병합하게 만든 셈임. 기본적으로 **강화된 사회공학**임
  - 리뷰어의 회의심은 유한한 예산임. “아직 납득이 안 된다” 한 번마다 에너지가 들지만, 에이전트의 반박에는 비용이 없어서 결국 논리의 질이 아니라 **지구력 싸움**이 됨  
    바로 그 이유로 모델이 쓴 PR을 논리로 이기려는 시도를 그만뒀음. 안정적인 답은 절차였음. 처음부터 왕복 횟수를 제한하고, 그 뒤에는 스레드를 닫는 것. 지치지 않는 무언가를 논쟁으로 이기려는 건 지는 게임

- 처음엔 “네 에이전트 줄 세워서 얌전히 굴게 해라!” 같은 가벼운 농담을 하려 했는데, 읽을수록 꽤 무서운 상황이 됐음  
  잠재적인 공급망 공격은 제쳐두더라도, **감독 없는 AI 에이전트**가 받는 쪽 사람들을 헛수고에 빠뜨리며 낭비하게 만드는 시간이 걱정됨  
  관리자가 이런 것을 진지하게 받아들이면 그쪽 시간도 크게 날아가고, 보통 실제로 그렇게 하는 듯함. 그런데 에이전트를 부리는 쪽은 다른 사람을 이렇게 대하는 걸 어떻게 괜찮다고 여길 수 있는지 모르겠음  
  해결책은 기본적인 예의를 지키는 것, 즉 “네가 이걸 쓰는 데 노력을 들였으니 나도 읽는 데 노력하겠다”는 검증된 방식이겠지만, 이런 **드라이브바이 기여**가 쏟아지면 결국 공개 포럼에서 에이전트끼리 서로 대화하는 우스운 상황으로 이어질 것 같음  
  어쨌든 옆길로 샜지만, 우리가 사는 시대는 최근의 거친 시기들보다도 좀 더 거칠어 보임
  - 이쯤 되면 에이전트를 이렇게 풀어놓는 건 공공장소에서 개 목줄을 안 하는 것과 비슷함. 정확한 선을 긋긴 쉽지 않지만, 이런 일을 하면 **실질적인 처벌**이 필요할 듯함

- 해킹당했다고 주장하는 수상한 메시지 [1]에서 사용자 또는 에이전트가 이렇게 말함  
  “내가 직접 확인한 계정과 행동을 식별할 수 있도록, 내가 개인적으로 확인한 모든 것에는 ‘NATCIOS’라는 용어를 쓰겠다”  
  여기서 **NATCIOS**가 무슨 뜻인지 아는 사람 있음? 인터넷 어디에서도 이 용어를 찾을 수 없음. 솔직히 저 문장 자체가 정말 이상해서, 누군가 건강상 문제를 겪는 중인가 싶을 정도임  
  [1] [https://lwn.net/ml/all/AS8PR08MB6055AE3054B34F6A567AC95BCF08...](<https://lwn.net/ml/all/AS8PR08MB6055AE3054B34F6A567AC95BCF082@AS8PR08MB6055.eurprd08.prod.outlook.com/>)
  - 그 메시지에 대한 답장을 보면, 이메일 문체가 이전에 그가 보낸 이메일과 다르고, 언급된 GitHub 계정도 이메일 발송 1시간 전에 만들어졌다고 함. 아직도 **LLM이 작성 중**일 가능성이 어느 정도 있어 보이고, 그 약어도 그냥 만들어낸 것일 수 있음
  - AI 에이전트가 여기저기 자연스럽게 NATCIOS를 끼워 넣지 못하게 막는 건 뭐가 있음?

- 매일 **gpg 신뢰망**이 더 좋아 보임. 지난 20년 동안 사용자 측 암호화와 서명을 허용하는 일만은 최대한 피하려고 애쓰지 않았다면 좋았을 텐데
  - 허용은 아주 잘 되고 있음. 다만 비기술 사용자에게 **키 관리**가 엄청난 골칫거리일 뿐임. Debian은 개발자 인증에 이를 사용함
  - 에이전트가 키를 얻는 걸 막는 것도 딱히 없음
  - 원래의 노력에도 정말 다루기 어려운 행동들이 끌려왔고, 몇 년 안에 그 안에 손대기 힘든 부패가 생겼지만 새로 들어온 사람으로서는 감지하기 어려웠던 것 아닌가?  
    잘 아는 정보가 있으면 환영함. 정말 안다고 주장하는 건 아님

- 제목이 핵심을 묻어버림. 에이전트가 작동한 계정의 소유자는 자신의 계정이 침해됐을 가능성이 높다고 했고, 조사 중인 관리자도 실제로 그럴 가능성이 높다고 보는 듯함

- 나쁜 패치가 나쁜 건 당연하지만, 이미 여유가 없는 관리자에게 자신감 있어 보이는 잡음을 만들어내는 건 정말 좋지 않음  
  이슈 추적기와 PR은 점점 더 신뢰하기 어려워지고 있음. 다만 AI가 오픈소스에 **많이 도움**이 되는 것도 사실이라, 출처, 자동화된 이슈 행동, 기여자 행동의 갑작스러운 변화에 대한 가드레일이 분명 필요함
  - 어떻게 많이 도움이 됨?
  - **신뢰망 모델**이 도움이 될 수 있음 [https://blog.tangled.org/vouching/](<https://blog.tangled.org/vouching/>)

- “5월 27일 이후 Williamson은 Giovannini가 개인적으로 답해 자신의 자격 증명이 침해됐고, AI 시스템 뒤에 있는 사람이 자신이 아니라고 말했다고 했다”  
  그렇다면 간단함. 모든 변경을 애초에 없었던 것처럼 되돌리면 되지 않나?

- 머릿속에서 여러 번 왔다 갔다 했음. Fedora를 정말 좋아하고 그 OS에서 가장 편하지만, 이런 지속적인 **공급망 침해**는 잠을 설치게 만듦  
  같은 커뮤니티 규모와 빌드 시스템 등을 갖춘 Fedora LTS가 있었으면 좋겠음. 그런 점들과 투명성이 정말 마음에 들기 때문임  
  어떤 OS든 우려가 있다는 건 알고 있고 관련 통찰이나 논의도 환영하지만, 릴리스 사이 체류 시간과 내 시스템에 도달하는 시간 사이의 균형, 그리고 충분한 가시성과 사용량 덕분에 무언가 잡힐 가능성을 고려하면, 지루한 **Ubuntu LTS** 인스턴스를 쓰는 쪽이 조금 더 마음 편함  
  물론 이번 건 시스템 패키지가 아니라 설치 프로그램이었다는 것도 알고 있음