Cloudflare가 Cloudflare Workers에 Matrix를 구현했다고 주장했지만 실제로는 그렇지 않음

 (tech.lgbt)
1P by GN⁺ 6일전 | ★ favorite | 댓글 1개
  • Cloudflare가 Matrix 프로토콜을 Cloudflare Workers에 구현했다고 발표했으나, 코드에는 핵심 기능이 빠져 있음
  • 코드 전반에 ‘TODO: Check authorisation’ 같은 미완성 주석이 다수 존재하며, 서명 검증·인증 절차가 누락된 상태
  • 상태 해결 알고리듬을 구현하지 않고 최신 상태를 직접 데이터베이스에 삽입해 보안 취약점과 호환성 문제 발생 가능
  • 블로그 게시 후 Cloudflare 측이 게시글과 README를 수정하며 ‘프로덕션용이 아님’이라는 면책 문구를 추가
  • 개발자 커뮤니티에서는 AI 생성 코드와 허위 기술 주장에 대한 비판이 확산, Cloudflare의 신뢰성에 의문 제기

Cloudflare의 Matrix 구현 주장과 코드 검증

  • Cloudflare가 자사 블로그에서 Matrix를 Cloudflare Workers 위에 구현했다고 발표했으나, 실제 코드는 핵심 기능을 수행하지 않음
    • 코드에는 ‘TODO: Validate PDU signature’, ‘TODO: Check authorization’ 등의 미완성 주석이 남아 있음
    • Matrix 서버 간 API의 인증 규칙을 구현하지 않아 위조된 데이터도 허용되는 상태
  • Matrix의 핵심인 상태 해결(state resolution) 알고리듬을 생략하고, 단순히 최신 상태를 DB에 삽입하는 방식 사용
    • 이로 인해 방(room) 상태 불일치와 상호운용성 문제, 보안 취약점이 발생할 수 있음

잘못된 기술 주장과 수정 이력

  • Cloudflare 블로그에서 Tuwunel과 그 전신이 Postgres나 Redis를 사용했다고 기술했으나, 이는 사실이 아님
  • 이후 게시글이 수정되어 ‘Synapse’로 교체되고, README에도 “프로덕션용이 아닌 예시 프로토타입” 이라는 문구가 추가됨
    • GitHub 커밋(fd412f41f98c0f3f360f5c4034443ef80680de49)에서 이러한 수정이 확인됨
    • 수정본에는 Claude Code Opus 4.5의 도움을 받았다는 문장도 포함됨

커뮤니티 반응과 비판

  • Mastodon과 Lobsters 등에서 AI 생성 코드와 허위 기술 홍보에 대한 비판이 확산
    • “서명 검증과 해시, 인증을 제거했다”, “보안이 아닌 단순한 예시 수준” 등의 지적 다수
  • 일부 사용자는 Cloudflare의 대응을 “은폐 시도” 로 평가하며, 커밋 내역 삭제 및 강제 푸시(force push) 기록을 추적
  • 커뮤니티 내에서는 풍자적 반응도 이어짐
    • “서버리스 구조라 비용이 0으로 스케일된다(존재하지 않기 때문)”
    • “Cloudflare는 메시지를 아예 보내지 않음으로써 완벽한 보안을 달성했다”

Jade의 추가 발언과 프로젝트 소개

  • Jade는 자신이 개발 중인 Rust 기반 Matrix 홈서버 Continuwuity를 소개
    • Raspberry Pi에서도 실행 가능하며, 중앙화된 클라우드 인프라에 의존하지 않음
  • FOSDEM 2026에서 Matrix 취약점 패치 경험을 주제로 발표 예정
    • 공동 발표자는 @nex@fedi.transgender.ing, Matrix 부스에서도 참여 예정

후속 논의와 기술적 세부 반응

  • 여러 개발자들이 Cloudflare 코드의 논리 오류(예: || 대신 ?? 사용) , ‘unknown error’ 처리 방식, TODO 주석 남발 등을 지적
  • 일부는 Cloudflare의 수정 커밋을 “‘Remove PII’가 공개 커밋으로 남은 점이 아이러니하다”고 언급
  • 커뮤니티 전반에서 Cloudflare의 AI 의존적 개발과 기술적 신뢰성 부족에 대한 우려가 제기됨
GN⁺ 6일전  [-]
Hacker News 의견들

  • 인프라 기업의 기술 블로그는 원래 전문성 과시신뢰 구축이라는 두 가지 목적을 가졌음
    하지만 과장된 표현이 들어가기 시작하면 둘 다 잃게 됨
    “우리가 Matrix를 구현했다”는 표현이 실제인지, 마케팅 과장인지 모르겠지만, 업계 전반에 “우리가 X를 했다”는 글이 사실은 “X의 일부를 데모했다” 수준인 경우가 많아 피로감이 쌓이고 있음
    해결책은 단순함 — 정확히 무엇을 만들었는지 명확히 쓰는 것임. “제한이 있는 Matrix homeserver 프로토타입을 Workers 위에 올렸다” 정도로 써도 신뢰를 잃지 않음

    • 공정하게 말하자면, Cloudflare의 기술 포스트는 대체로 통찰력 있는 내용이 많음
    • 하지만 그렇게 솔직하게 쓰면 경영진이 화낼 것임. 그건 LLM이 아직 CEO들이 약속한 수준에 도달하지 못했다는 걸 인정하는 셈이기 때문임

  • 내 해석으로는, 누군가가 ‘vibe coding’ 으로 글과 저장소를 동시에 만들고 검토 없이 Cloudflare 블로그에 올린 것 같음
    작성자는 엔지니어가 아니고, AI가 “이건 프로덕션급으로 테스트 완료”라고 말하자 그대로 믿은 듯함
    코드가 Cloudflare 공식 저장소가 아니라 개인 GitHub에 있다는 점이 핵심 단서임. Cloudflare는 앞으로 공개 커뮤니케이션에 대한 검토 절차를 강화해야 함

    • 이 사람이 Cloudflare 직원이라면, 또 어떤 걸 vibe coding 중일지 걱정됨. 예전처럼 “실수”로 인터넷 절반을 끊는 일은 언제 또 생길지 모름
    • 들은 바로는 Cloudflare의 CEO와 CTO가 모든 블로그 포스트를 직접 검토한다고 함
    • 문제는 단순히 “할 수 있느냐”가 아니라, 조직 내 인센티브 구조
      Cloudflare는 블로그 포스트를 엔지니어 포함 모든 직군의 주요 산출물로 본다고 함. 이런 구조에서는 품질보다 속도가 우선되기 쉬움
      결국 이번 사건으로 신뢰는 줄고, 검토 절차는 늘어나며, 게시 속도는 느려질 것임. 조직이 성장하며 겪는 자연스러운 진화 과정임
      그런데 아직도 글을 내리지 않고, 오히려 수정으로 더 큰 혼란을 만들고 있는 게 놀라움

  • 이번 사건에 대해 Cloudflare가 근본 원인 분석(RCA) 포스트를 내줬으면 함
    장애 보고서처럼 흥미롭게 읽을 수 있을 것 같음
    이번엔 어떤 검토 절차가 실패했는지, 그리고 블로그의 신뢰를 어떻게 회복할지 궁금함

  • Jade가 언급한 소스 코드를 찾아봤는데, 작성자가 이 스레드를 인지한 듯함
    관련 커밋 링크

    • 새 커밋에서 README의 “production grade” 문구를 삭제하고, AI 도움을 받았다고 명시했으며, ASCII 다이어그램 정렬도 수정했음
      커밋 링크
      솔직히 블로그와 저장소 둘 다 그냥 삭제했어야 함
    • 그런데 그 커밋이 지금은 “Clean up code comments” 로 수정되어 목적이 흐려졌음
      수정된 커밋
    • 이런 식의 수정은 오히려 상황을 더 악화시킴

  • Cursor가 GPT-5.2로 웹 브라우저를 처음부터 만들었다는 가짜 뉴스가 반박된 지 며칠 안 됐는데, 또 이런 일이 생김
    이런 류의 이야기는 기본적으로 의심부터 하는 태도가 필요함

    • 내가 직접 “Cursor의 브라우저 실험” 기사를 쓴 뒤, 한 명의 에이전트만으로 브라우저를 만들어봤음
      Show HN 게시글
      결과적으로 Cursor가 수백 개의 에이전트를 수주간 돌려 만든 것과 비슷한 수준을 2만 줄 코드로 구현했음
      저장소 링크
    • 문제는 Cloudflare의 블로그나 저장소 어디에도 “vibe coding”임을 명시하지 않았다는 점임
      matrix-workers 저장소만 봐도 정렬 안 된 ASCII 다이어그램이 단서인데, 이런 걸 검토도 안 했다는 게 놀라움
    • 기능이 실제로 작동하는지조차 확인하지 않고 글을 올린 건 이해하기 힘듦
    • 요즘 “AI” 관련된 사람들은 대부분 사기꾼이나 허풍쟁이처럼 보임. 예외를 아직 못 봤음
    • 많은 이들이 이 “기술”에 과도하게 투자한 상태라, 기업이 내는 발표를 무조건 믿지 않는 해커 윤리로 돌아가기까지 시간이 걸릴 것임

  • 원문 블로그 상단에는 “Proof of concept임을 명확히 함”이라는 문구가 추가됐지만, 하단에는 여전히
    “우리 팀은 실제 암호화 통신을 Matrix on Workers로 처리 중”이라는 문장이 남아 있었음
    대체 어느 쪽이 맞는지 혼란스러움

    • “우리 팀이 Matrix on Workers를 사용 중”이라는 말은 믿기 어려움. 저장소는 개인 GitHub에 있고 구현도 불완전함
    • 11:45에 다시 수정되어, 이제는 “이 구현을 실험 중이며, 관심 있는 기여자를 환영함”으로 바뀜
      아카이브 버전
    • 만약 정말 내부에서 그렇게 쓰고 있다면, 불완전하고 위험한 코드를 사내망에서 돌리고 있는 셈이라 놀라움

  • 대형 벤더가 실제로 작동하지 않는 코드를 내놓고 제품을 팔려는 건 우려스러움
    복잡한 엔지니어링을 쉽게 보이게 만들면, 안전한 소프트웨어를 만드는 데 시간이 걸린다는 걸 설명하기 어려워짐
    이런 행동은 플랫폼에 대한 신뢰를 훼손

    • 문제는 이미 업계가 “바닥 경쟁”을 너무 오래 해왔다는 것임
      AI 코딩은 그 단순화된 환상을 이용했을 뿐이고, 결국 탐욕스러운 시장 구조가 이런 사태를 낳았음

  • Cloudflare가 원문을 계속 수정 중이라, 원본을 보려면 이 아카이브 링크가 유용함

    • 누군가 Mastodon에서 🤮 이모지로 인용하자, 블로그에서 LLM 특유의 문장 패턴이었던 “not just X; Y” 구문을 슬그머니 삭제했음

  • 이번 일은 Cloudflare와 작성자 모두에게 망신스러운 사건
    검토 없이 글을 올린 게 믿기지 않음
    최근 Cloudflare에서 잦은 실수가 이어지고 있어, 한때의 정점을 지나 점진적 하락세로 보임

    • “요즘 Cloudflare에서 왜 이렇게 실패가 많을까”라는 의문이 듦. 아마도 최근의 새로운 유행 기술 때문일지도 모름

  • 블로그를 Hacker News에 올린 계정이 임시 계정(throwaway) 이었다는 점에서, 작성자 스스로 코드와 주장에 자신이 없었음을 암시함
    HN 링크

    • 게다가 자기 글에 스스로 댓글을 달며 질문하는 척까지 했음
답변달기