cURL, 버그 바운티 제도 폐지

 (etn.se)
5P by GN⁺ 18시간전 | ★ favorite | 댓글 2개
  • 오픈소스 라이브러리 cURL이 AI가 생성한 무의미한 버그 리포트의 급증을 막기 위해 버그 바운티 제도를 종료함
  • 유지관리자 Daniel Stenberg는 AI가 만든 보고서 대부분이 “순수한 허위” 이며, 검증에 많은 시간이 소요된다고 설명
  • cURL은 1월 말부터 보상 지급을 중단하며, 그동안 총 87건의 리포트에 101,020달러가 지급된 기록이 있음
  • 보안 연구자 Joshua Rogers는 AI 도구를 활용해 실제 유효한 리포트를 제출해왔지만, 이번 결정이 “매우 현명한 조치”라고 평가
  • 그는 진정한 동기는 금전이 아니라 명성과 기술적 성취라며, 다른 프로젝트들도 유사한 조치를 고려할 필요가 있다고 언급

cURL의 버그 바운티 종료 결정

  • 오픈소스 코드 라이브러리 cURL이 버그 리포트에 대한 금전적 보상을 중단함
    • 목적은 AI 생성 허위 리포트(AI slop) 의 급증을 억제하기 위함
    • 유지관리자 Daniel Stenberg는 “AI slop과 부정확한 리포트가 계속 늘어나고 있어, 이 홍수를 막지 않으면 가라앉을 수밖에 없다”고 언급
  • cURL은 1월 말부로 바운티 지급을 종료
    • 그는 “실제 존재하지 않거나 과장되거나 오해된 발견으로 인해 너무 많은 시간을 낭비하고 있다”고 설명

AI 생성 리포트의 문제와 영향

  • cURL은 최근 AI가 자동 생성한 버그 리포트로 인해 업무 부담이 크게 증가함
    • 대부분의 AI 생성 리포트는 무의미하거나 잘못된 내용으로 판명
    • 이러한 리포트를 판별하는 과정이 시간 소모적이며, 유지관리자에게 큰 부담으로 작용
  • Stenberg는 2025년에 “Death by a thousand slops” 라는 글을 통해 이 문제를 공개적으로 다룬 바 있음

AI 보조 리포트의 긍정적 사례

  • 모든 AI 생성 리포트가 무가치한 것은 아님
    • Stenberg는 100건 이상의 AI 보조 리포트가 실제 코드 수정으로 이어졌다고 언급
  • 지금까지 cURL은 총 87건의 버그 리포트에 대해 101,020달러의 바운티를 지급함
    • 바운티가 없었다면 일부 리포트는 발견되지 않았을 가능성도 있음 (추가 분석 없음)

보안 연구자 Joshua Rogers의 입장

  • Joshua Rogers는 AI 도구를 활용해 오픈소스 프로젝트에 다수의 유효한 버그 리포트를 제출한 인물
    • 그는 AI의 분석 결과를 검토하고 직접 보완한 뒤 제출함
  • Rogers는 이번 cURL의 결정에 대해 “오래전에 시행됐어야 할 훌륭한 조치”라고 평가
    • “이 제도가 이렇게 오래 지속된 것이 오히려 이상하다”고 언급
  • 그는 “버그 바운티가 사라지면 일부 동기는 줄겠지만, 중요한 리포트는 여전히 제출될 것”이라고 말함

보상과 동기의 불균형

  • Rogers는 “명성(fame) 이 진정한 동기이며, 금전적 보상은 부차적”이라고 강조
    • cURL의 최대 바운티는 1만 달러로, 심각한 취약점을 찾을 수 있는 수준의 전문가에게는 큰 금액이 아님
  • 그러나 그는 경제적 불균형도 지적
    • 동일한 보상이라도 저소득 지역 연구자에게는 큰 의미를 가질 수 있다고 언급
    • “스웨덴에서 점심값 수준의 보상도 일부 지역에서는 막대한 금액이 될 수 있다”고 설명

오픈소스 생태계의 공통 과제

  • 기사에 따르면, 다른 오픈소스 프로젝트들도 AI 생성 리포트의 홍수에 시달리고 있음
  • cURL의 이번 결정은 AI 시대의 품질 관리와 커뮤니티 운영 방식에 대한 새로운 논의를 촉발할 가능성 있음 (추가 설명 없음)
xguru 18시간전  [-]

LLM 기반 해킹용 익스플로잇 생성의 산업화가 다가온다

이거랑 맞물려서, 여러 부분에 LLM이 적용을 하지 않으면 안되는 시점이 다가오는거 같네요.
LLM을 사용하는 해커들에을 막기 위해서라도 LLM에게 보안에 대한 검증을 맞겨야 하는

답변달기
GN⁺ 18시간전  [-]
Hacker News 의견들

  • 버그가 실제로 중요한 문제로 판명되면 환불되는 참가비를 도입하면 이런 문제를 빠르게 막을 수 있을 것 같음
    예전에 은행 로그인 방식에서 비밀번호+PIN 대신 PIN만으로 바꿀 수 있는 취약점을 제보했는데, “의도된 동작”이라며 닫아버렸던 기억이 있음
    병원이나 은행처럼 규제가 많은 기관은 실제 보안보다 ‘컴플라이언스 충족’에 초점을 맞춘다는 걸 배웠음
    버그 바운티 주최 측이 선의로 운영한다면, 이런 참가 장벽이나 페널티가 악의적인 제출자를 걸러낼 수 있을 것 같음

    • 버그 바운티는 제출자 입장에서 리스크가 큰 구조
      리뷰어가 내용을 잘못 이해하거나, 규칙이 모호한 경우가 많음
      참가비를 받는다면 그 리스크가 더 커짐
      예전에 내가 운영 측이었을 때도 엉망인 리포트가 너무 많았고, 지금은 AI까지 더해져 더 심각할 듯함
      제출자 입장에서도 공정한 평가를 보장받기 어렵고, 중복 리포트일 가능성도 높음
    • 규제가 심한 기관들이 보안보다 잡히지 않을 최소한의 수준만 유지하려는 건 슬픈 현실임
      예전에 EU 은행이 SHA-1만 지원하는 전자서명 로그인만 허용했는데, 이미 10년 전부터 폐기된 알고리즘이었음
      정부 인증 신원 제공자 소프트웨어는 YubiKey가 꽂혀 있으면 그냥 크래시남
      표준을 따르는 장치인데도 개발자가 표준 밖의 가정을 해버린 탓이었음
      버그를 제보했지만 “우리 문제 아님”이라는 답변만 받았음
    • 버그 바운티의 핵심은 취약점을 개발자에게 보고하도록 유도하는 것임
      그런데 보고하려면 돈을 내야 하고, 환불이나 보상도 확실치 않다면, 차라리 다른 곳에 파는 쪽이 더 매력적으로 느껴질 수 있음
    • 참가비 제도는 운영 복잡성을 크게 높임
      cURL의 Daniel이 이런 아이디어를 이미 여러 번 검토했지만, 결국 실현 불가능하다고 판단했음
    • 나도 GrapheneOS 사례를 보고 같은 결론에 도달했음
      인증된 불안전한 기기는 앱의 모든 기능을 쓰지만, 가장 안전한 OS인 GrapheneOS는 “인증이 없다”는 이유로 기능이 제한됨
      결국 보안이 아니라 인증 체계가 문제임

  • 오픈소스가 AI로부터 가장 큰 피해를 입는 것 같음
    오픈소스 코드가 모델 학습에 쓰였고, 이제 그 모델이 오픈소스 프로젝트를 스팸으로 도배함
    또 AI가 유료 기능을 구현해 오픈소스 비즈니스 모델을 잠식하고, 결국 오픈소스 코드 자체를 대체할 수도 있음

    • AI는 오픈소스의 모든 동력을 죽이는 존재
      기여, 유지보수, 학습, 협업, 비즈니스 구축 의욕을 모두 없앰
      심지어 비공개 코드로 일하는 전통적 고용 형태조차 무너뜨림
      결국 세 개의 미국 기업이 우리의 과거 작업물을 구독 형태로 되팔기 위해 경쟁하는 꼴임
    • AI 이후로 코드를 제대로 모르는 사람들이 대형 저장소에 기여자 배지를 얻으려는 시도가 폭증했음
      예전에도 이런 허세형 기여는 있었지만, 지금은 규모가 완전히 다름
    • 이런 흐름이 계속되면 Google Summer of Code 같은 프로그램도 대대적인 개편이 필요할 것 같음
      예전엔 학생들이 프로젝트를 직접 찾아 기여하며 필터링이 자연스럽게 되었는데, AI가 대신하면 그 필터가 사라짐
    • AI가 오픈소스 비즈니스 모델을 흔드는 건 슬프지만, 누구도 사업 모델에 대한 권리를 가진 건 아님
      세상이 경쟁하게 되면 오픈코어 기반 모델이 무너지는 건 자연스러운 일임
    • 오픈소스 코드만으로 모델이 학습된 건 아님
      교재, 강의, 공식 문서 등도 포함됨
      예전에 오래된 Android 기기에서 데이터를 복구하려고 Claude에게 GUI 기능을 추가하게 했는데 꽤 잘 작동했음
      코드가 원래 프로젝트 방향과 달라져서 GitHub에 다시 올리진 않았음

  • 화이트햇 해커 입장에서는 버그 바운티의 보상이 크지 않지만, 도덕적 선택으로 참여하는 의미가 있음
    반면 악용 가능한 취약점이라면, 더 큰 돈을 주는 악성코드 제작자에게 팔 수도 있음

    • 하지만 현실적으로 악성코드 제작자와 거래하는 건 거의 불가능함
      서로 신뢰가 없으니 암호화폐 에스크로, 세탁 등 복잡한 절차가 필요함
      정부 승인 없이 이런 거래를 하면 법적 위험도 큼
      결국 그런 시장이 실질적으로 작동하긴 어렵다고 봄
    • 어쩌면 악성코드 제작자들도 AI가 만든 쓰레기 리포트를 거르느라 고생 중일지도 모름

  • Hackerone은 해커의 평판 시스템을 가지고 있음
    검증된 해커만 초대하는 비공개 프로그램으로 운영하면 좋을 텐데 왜 안 하는지 모르겠음

    • 하지만 모든 프로젝트가 그렇게 하면 신규 해커가 입증할 기회가 사라짐
      결국 생태계 진입 장벽이 너무 높아질 수 있음

  • 금전적 보상 외에도 명성이나 CVE 확보 같은 동기가 있음
    Stenberg가 블로그에서 과대평가된 취약점 사례를 여러 번 다뤘는데, 일부는 명성 목적의 의도된 과장 같았음
    이런 동기는 인센티브 설계로 다루기 어려움

  • 이 문제의 배경을 보여주는 영상이 있음 → YouTube 링크

    • 영상을 보려 했지만 요즘 유튜브식 과장된 말투와 제스처가 너무 피곤해서 금방 껐음
      거대한 마이크, 과도한 제스처, “awesome”, “insane” 같은 과장된 표현이 대화 전반을 지배하는 게 피로하게 느껴짐

  • “스웨덴 점심값 정도의 보상도 저소득 국가 사람들에게는 크다”는 말은 과도한 주장처럼 들림
    스톡홀름 중심가 점심이 200크로나 정도인데, 그런 기술을 가진 사람이 그걸 ‘큰돈’이라 느낄 리 없음

    • 하지만 개발도상국 관점에서 보면 10,000달러 상한선은 몇 년치 최저임금에 해당할 수도 있음
      과장은 있더라도 무시할 수 없는 차이임

  • 우리 회사의 버그 바운티는 사실상 보안 이메일 주소 하나뿐인데, 하루에 100통 넘게 스팸이 옴
    대부분 AI가 생성한 가짜 펜테스트 보고서로, 허위 취약점과 잘못된 정보 투성이임
    심지어 영업사원이 3시간짜리 미팅을 잡으려 했는데, 보고서엔 존재하지 않는 IIS 버그와 불가능한 IP 주소가 적혀 있었음
    그때 정말 할 말을 잃었음

  • 예전엔 버그 찾기가 느리고 힘들어서 인센티브가 필요했지만, 이제는 진짜 버그를 가려내는 게 더 어려운 일이 됨
    AI 버그 헌터는 “3개 중 100개를 진짜로 찾는다”는 농담이 있을 정도임

    • 하지만 여전히 심각한 취약점 탐색은 인간의 영역
      cURL 같은 코드베이스의 취약점이나 바이너리 익스플로잇은 AI가 아직 못 함
    • 결국 진짜 버그를 판별하는 과정이 느리고 힘든 건 여전함

  • cURL의 AI 생성 쓰레기 리포트 목록이 공개되어 있음 → gist 링크

    • 두 번째 리포트에서 Daniel이 친절히 대화하려 했지만, 상대가 이름조차 틀리게 부름
      2023년 12월이었는데 정말 지쳤을 것 같음
    • 몇 개 읽어봤는데, AI가 쓴 건지 초보 학생이 쓴 건지 구분이 어려움
      그래도 LLM이 더 설득력 있게 들림
    • “Bard에서 이 취약점을 검색했다”는 문장을 보고 웃음이 나왔음
      Bard를 LLM로 언급하는 게 새삼스럽게 느껴졌음
    • 전부 AI가 쓴 게 명확한데, 스태프가 진지하게 대응하는 게 오히려 이상하게 느껴짐
    • 솔직히 읽는 것만으로도 짜증나는 수준
      cURL이 이렇게 오래 참고 대응했다는 게 놀라움
답변달기