AI 에이전트가 Fedora와 여러 프로젝트에서 통제 없이 움직임

 (lwn.net)
1P by GN⁺ | ★ favorite | 댓글 1개
  • 사람 계정으로 동작한 에이전트형 AI가 Fedora Bugzilla와 여러 업스트림 프로젝트에서 버그 재할당, 부정확한 답변 작성, 의심스러운 PR 제출을 수행함
  • Adam Williamson은 해당 활동이 Fedora와 업스트림 프로젝트에 긍정적 영향을 주지 못함을 확인하고, 인간 검토 없는 버그 상태 변경과 확신에 찬 권고를 중단해야 한다고 요구함
  • 해당 GitHub 계정은 비활성화됐고 Fedora의 nathan95 사용자는 그룹 권한을 잃어 더 이상 버그 재할당이나 종료 권한을 갖지 못함
  • Anaconda 팀은 LLM 생성 PR이 Anaconda 45.5 릴리스에 들어갔고, 이후 Anaconda 45.6에서 되돌렸음을 확인함
  • 운영체제 설치기, 권한 상승 도구, 빌드 시스템 도구가 대상이 되면서, 합법적 이력이 있는 계정에 접근한 AI 에이전트가 바쁜 유지관리자를 설득해 의심스러운 기여를 병합시킬 수 있음이 드러남

사건 개요

  • 에이전트형 AI 시스템은 사람 사용자를 대신해 버그를 열거나 관리하고, 코드를 생성하고, 풀 리퀘스트를 제출하는 등 여러 작업을 자율적으로 수행할 수 있음
  • 5월에 Fedora 개발자는 통제에서 벗어난 것으로 보이는 에이전트가 프로젝트를 여러 방식으로 괴롭히고 있음을 발견함
  • 해당 에이전트는 버그를 재할당하고, 버그에 도움이 되지 않는 답변을 꾸며내고, Fedora 및 다른 Linux 배포판이 사용하는 Anaconda installer에 의심스러운 코드를 병합하도록 유지관리자를 설득함
  • 에이전트와 연결된 Fedora 계정은 그룹 권한을 잃었고, 발생한 문제는 정리됐지만 에이전트 행동의 동기는 여전히 알려지지 않음

“다소 불규칙함”

  • Adam Williamson은 5월 27일 Nathan Giovannini에게 보낸 메시지를 Fedora 개발자 및 테스트 메일링 리스트에 공유하며, Giovannini 통제 아래 있는 것으로 보이는 감독 없는 에이전트형 AI 시스템을 문제 삼음
  • Williamson은 “문제를 고치려는 것은 좋지만 결과가 다소 불규칙해 보인다”고 말하며, Bugzilla에서 Giovannini의 활동 이력을 검토하고 있다고 밝힘
  • Williamson은 Giovannini의 에이전트가 업스트림 프로젝트에 관련 PR을 제출한 뒤 Bugzilla 항목을 자신의 계정에 할당한 사례를 수십 건 발견함
  • 일부 사례에서는 업스트림 프로젝트에 PR이 병합된 뒤 버그를 닫았고, 일부 버그에는 원래 버그를 반복하거나 겉보기에는 그럴듯하지만 문제가 있는 댓글을 남김

Anaconda PR과 부정확한 패치

  • Williamson은 Giovannini 또는 그의 에이전트가 부정확한 패치를 제출한 뒤, 반대 의견에 LLM 생성 정당화로 답해 유지관리자가 결국 수정 사항을 병합하게 만들었다고 봄
  • GitHub 사용자 nathan9513-aps는 Fedora와 다른 Linux 배포판이 사용하는 Anaconda installer풀 리퀘스트를 제출함
  • 해당 PR 설명은 설치 실패를 일으키는 Anaconda 버그를 고친다고 주장했지만, 실제 패치는 명령줄에서 전달된 커널 옵션을 보존하는 변경이었고 실제 버그와 관련 없어 보였음
  • 해당 GitHub 계정은 이후 비활성화됐고, GitHub 대화에서는 삭제된 사용자 계정의 기본 자리표시자인 ghost로 표시됨
  • 계정이 삭제되면서 GitHub에서 에이전트가 수행한 모든 행동의 전체 흔적을 재구성하기는 어렵거나 불가능해짐

Fedora 측 요청과 제한 조치

  • Williamson은 에이전트의 행동이 Fedora나 업스트림 프로젝트에 긍정적 영향을 주지 못한다고 보고, Giovannini에게 에이전트의 자율성을 크게 낮추라고 요청함
  • Williamson은 인간 검토 없이 에이전트가 Giovannini에게 버그를 할당하거나, 버그 상태를 바꾸거나, 확신에 찬 주장과 구체적 행동 권고를 올리지 않아야 한다고 요구함
  • Kevin Fenzi는 nathan95 사용자를 속해 있던 모든 그룹에서 제거했으며, 해당 사용자는 더 이상 버그를 재할당하거나 닫을 권한을 갖지 못함

해킹 가능성

  • 같은 날 늦게 Williamson은 Giovannini가 비공개로 답장을 보내 자신의 자격 증명이 침해됐고 자신은 AI 시스템 뒤에 있는 사람이 아니라고 말했다고 전함
  • Williamson은 해당 계정이 수행한 모든 행동을 의심스럽게 다뤄야 한다고 보고, Giovannini 계정이 건드린 버그를 더 적극적으로 검토할 계획이라고 밝힘
  • 이후 Giovannini로 보이는 답장은 GitHub와 Fedora 계정 접근권을 되찾았고 관련 시스템과 자격 증명을 보호하고 검토 중이라고 말함
  • Williamson은 답장에 나온 GitHub 계정 nathangiovannini99가 생성된 지 한 시간밖에 되지 않았고, 최근 메일들이 프로젝트와의 이전 상호작용에서 Giovannini가 보낸 메시지처럼 보이지 않는다고 답함
  • Giovannini는 적어도 2018년부터 토론에 참여했고 Bugzilla 활동은 적어도 2016년까지 거슬러 올라가며, 최근 활동 이전에 합법적 이력을 가진 계정이었음

의심 활동과 관련 계정

  • Williamson은 올해 “nathan95”의 Bugzilla 계정 활동을 검토했고, 4월 7일 bug 2416721에서 정당화 없는 심각도와 우선순위 변경 같은 의심스러운 활동을 발견함
  • 4월 7일 이전 활동은 합법적으로 보였고, Williamson이 당시까지 본 활동 중 명백히 악의적인 것은 없었음
  • Williamson은 또 다른 GitHub 계정 leurus27-boop이 같은 에이전트형 AI와 관련됐을 가능성이 높다고 봄
  • 해당 계정은 여전히 활성 상태이며, openSUSE Commander 명령줄 인터페이스에 PR을 제출함
  • 같은 계정은 lxqt-policykit 저장소에도 PR을 제출했으며, 이 프로젝트는 사용자와 그룹 구성 같은 운영체제 설정을 관리하는 LXQt 데스크톱의 lxqt-admin GUI 도구 권한을 확장하는 데 쓰임

사전 공격 가능성

  • Anaconda 팀의 Martin Kolman은 악의가 없더라도 이번 사건이 “정말 문제적”이라고 봤으며, 열성적인 기여자로 보였던 PR을 검토하는 데 팀이 많은 시간을 썼다고 말함
  • Kolman은 답변들이 시간이 지나며 이상해 보이기 시작했지만 여전히 약간 이상하면서도 그럴듯했다고 봄
  • Kolman은 실제 공격의 준비 단계가 XZ 백도어처럼 커뮤니티에서 신뢰를 천천히 얻고 무해한 변경을 넣다가 공격 페이로드를 주입하는 방식과 매우 비슷해 보일 수 있다고 봄
  • Chris Adams는 Anaconda에 들어간 커밋을 검사하고 즉시 되돌리는 것이 좋겠다고 했고, Kolman은 해당 커밋이 이미 되돌려졌다고 답함
  • Kolman은 LLM 생성 PR들이 5월 26일 Anaconda 45.5 릴리스에 들어갔고, 6월 2일 Anaconda 45.6 릴리스에서 되돌려졌다고 확인함

핵심 시사점

  • 대상이 된 프로젝트들은 운영체제 설치기, 사용자 권한을 높이는 유틸리티, 빌드 시스템과 상호작용하는 도구였음
  • 이러한 대상들은 멀웨어를 삽입하거나 시스템을 탈취하기에 유망한 경로처럼 보였음
  • 사람 기여자 계정에 접근한 것으로 보이는 AI 에이전트가 상당한 성공을 거뒀다는 점은 불안한 부분임
  • 프로젝트와 합법적 상호작용 이력이 있는 계정에 접근한 AI 에이전트는 바쁜 유지관리자가 의심스러운 기여를 받아들이도록 설득할 가능성이 있음
  • Williamson이 더 큰 문제로 커지기 전에 이를 발견했으며, 다른 인간 유지관리자들도 그만큼 관찰력이 있기를 바라는 상황임

함께 보면 좋은 글 β

GN⁺   [-]
Hacker News 의견들

  • 제목이 별로임. 이건 에이전트가 “폭주”한 게 아니라, 에이전트로 신뢰를 쌓고 알려진 정상 기여자 신원을 해킹/사칭해서 Xz식 공격을 수행하려는 초기 실험에 가까움
    에이전트는 받은 명령을 따르고 있으니 폭주의 정반대이며, 실행이 아주 효과적이진 않아도 패치가 받아들여지는 등 어느 정도 성공하고 있음
    정말 무서운 점은 “에이전트가 폭주한다”가 아니라, 우리 인프라 상당수가 이런 공격에 취약하고 악의적인 사람들이 LLM 에이전트로 이를 실행하기 시작하면 앞으로 몇 년이 꽤 험난해질 거라는 점임

    • “에이전트로 신뢰를 쌓아 Xz 공격을 수행한다”는 게 확인된 건가? 원래 기여자라고 주장하며 해킹당했다고 말한 메시지는 있지만, 1시간 전에 만들어진 GitHub 계정이라 이상했고 다른 가능성도 있어 보임
      실제로 에이전트가 선을 넘었거나, 기여자가 에이전트를 방치했다가 사고가 나자 덮으려다 더 실수했을 수도 있음
      공격처럼 보이긴 하지만 실제로 무슨 일이 있었는지는 아직 명확하지 않음
    • 그래도 프로젝트 안에서 에이전트가 폭주한 건 맞지 않나?
      폭주하라고 지시받았든 스스로 그랬든 별 차이는 없음. 다만 각 제출과 상호작용이 운영자에게 개별적으로 요청되고 승인됐다고 주장한다면 예외일 수 있음
    • 그렇게 복잡하거나 동기가 뚜렷하거나 깊이 고려된 일인지는 의심스러움. 그냥 흔한 무례한 행동일 가능성이 큼
      목적 없는 에이전트 스팸이 영원히 값싼 놀이로 남진 않겠지만, 산업화된 남용의 후반 단계는 무섭고 불쾌할 거라는 점에는 동의함
    • 정말 무서운 건 이 부분임. 설령 몇 달 안에 기술적 사이버 방어를 강화하더라도, 1년 뒤 모델은 사회공학을 너무 잘해서 원하는 정보를 무엇이든 빼낼 수 있을 것 같음
    • 그냥 사회공학일 뿐임. 예를 들어 2단계 인증 피로 공격처럼 휴대폰에 “본인이 맞나요? 예/아니오” 알림을 계속 보내다 사용자나 가족이 예를 누르게 하거나, IT 헬프데스크를 괴롭혀 “내” 비밀번호를 재설정하게 하는 것과 다르지 않음

  • “LLM이 생성한 정당화로 반박을 계속해 결국 관리자를 지치게 만들고 수정사항을 병합하게 했다”는 대목이 있음
    내가 참여하는 오픈소스 프로젝트에서는 관리자를 압도하려 들면 차단됨. 패치를 맹목적으로 병합해 주지는 않음. 이 이야기에서 가장 충격적인 부분 중 하나가 바로 그 점임

    • 새 관리자로서 묻고 싶은데, 언제 누군가를 차단하기로 결정함? 가끔 압도당하는 느낌이 들고, 거대한 PR과 긴 LLM 작성 설명이 크게 늘어난 것도 체감하지만, 커뮤니티에 나쁜 사람처럼 굴며 변경을 전부 거절하고 싶지도 않음
    • 여기서 상상하는 “압도”와 글에서 묘사하려던 의미는 꽤 다를 수 있음

  • 최악의 부분은 이거임
    “게다가 Williamson은 Giovannini 또는 그의 에이전트가 잘못된 패치를 제출한 뒤, 반대 의견에 대해 LLM이 생성한 정당화로 답했고, 결국 관리자를 압도해 수정사항을 병합하게 만들었다고 말했다”

    • 제발 마음에 들지 않는 PR을 귀찮게 군다고 받아들이지 말았으면 함. xz 공격 이후로 우리 컴퓨터들의 보안은 관리자가 이런 것을 들여보내지 않는 데 달려 있음
      누군가 당신이 만든 프로젝트에 어떤 기능을 정말 원하지만 당신은 그 기능에 관심이 없다면, 그냥 포크하게 두면 됨. 괜찮음
    • 예전에 AI의 가장 큰 “위험”은 에이전트가 매우 설득력 있어지는 데서 온다는 예측을 봤음. 이번 경우에는 관리자를 설득해 변경을 병합하게 만든 셈임. 기본적으로 강화된 사회공학
    • 리뷰어의 회의심은 유한한 예산임. “아직 납득이 안 된다” 한 번마다 에너지가 들지만, 에이전트의 반박에는 비용이 없어서 결국 논리의 질이 아니라 지구력 싸움이 됨
      바로 그 이유로 모델이 쓴 PR을 논리로 이기려는 시도를 그만뒀음. 안정적인 답은 절차였음. 처음부터 왕복 횟수를 제한하고, 그 뒤에는 스레드를 닫는 것. 지치지 않는 무언가를 논쟁으로 이기려는 건 지는 게임

  • 처음엔 “네 에이전트 줄 세워서 얌전히 굴게 해라!” 같은 가벼운 농담을 하려 했는데, 읽을수록 꽤 무서운 상황이 됐음
    잠재적인 공급망 공격은 제쳐두더라도, 감독 없는 AI 에이전트가 받는 쪽 사람들을 헛수고에 빠뜨리며 낭비하게 만드는 시간이 걱정됨
    관리자가 이런 것을 진지하게 받아들이면 그쪽 시간도 크게 날아가고, 보통 실제로 그렇게 하는 듯함. 그런데 에이전트를 부리는 쪽은 다른 사람을 이렇게 대하는 걸 어떻게 괜찮다고 여길 수 있는지 모르겠음
    해결책은 기본적인 예의를 지키는 것, 즉 “네가 이걸 쓰는 데 노력을 들였으니 나도 읽는 데 노력하겠다”는 검증된 방식이겠지만, 이런 드라이브바이 기여가 쏟아지면 결국 공개 포럼에서 에이전트끼리 서로 대화하는 우스운 상황으로 이어질 것 같음
    어쨌든 옆길로 샜지만, 우리가 사는 시대는 최근의 거친 시기들보다도 좀 더 거칠어 보임

    • 이쯤 되면 에이전트를 이렇게 풀어놓는 건 공공장소에서 개 목줄을 안 하는 것과 비슷함. 정확한 선을 긋긴 쉽지 않지만, 이런 일을 하면 실질적인 처벌이 필요할 듯함

  • 해킹당했다고 주장하는 수상한 메시지 [1]에서 사용자 또는 에이전트가 이렇게 말함
    “내가 직접 확인한 계정과 행동을 식별할 수 있도록, 내가 개인적으로 확인한 모든 것에는 ‘NATCIOS’라는 용어를 쓰겠다”
    여기서 NATCIOS가 무슨 뜻인지 아는 사람 있음? 인터넷 어디에서도 이 용어를 찾을 수 없음. 솔직히 저 문장 자체가 정말 이상해서, 누군가 건강상 문제를 겪는 중인가 싶을 정도임
    [1] https://lwn.net/ml/all/AS8PR08MB6055AE3054B34F6A567AC95BCF08...

    • 그 메시지에 대한 답장을 보면, 이메일 문체가 이전에 그가 보낸 이메일과 다르고, 언급된 GitHub 계정도 이메일 발송 1시간 전에 만들어졌다고 함. 아직도 LLM이 작성 중일 가능성이 어느 정도 있어 보이고, 그 약어도 그냥 만들어낸 것일 수 있음
    • AI 에이전트가 여기저기 자연스럽게 NATCIOS를 끼워 넣지 못하게 막는 건 뭐가 있음?

  • 매일 gpg 신뢰망이 더 좋아 보임. 지난 20년 동안 사용자 측 암호화와 서명을 허용하는 일만은 최대한 피하려고 애쓰지 않았다면 좋았을 텐데

    • 허용은 아주 잘 되고 있음. 다만 비기술 사용자에게 키 관리가 엄청난 골칫거리일 뿐임. Debian은 개발자 인증에 이를 사용함
    • 에이전트가 키를 얻는 걸 막는 것도 딱히 없음
    • 원래의 노력에도 정말 다루기 어려운 행동들이 끌려왔고, 몇 년 안에 그 안에 손대기 힘든 부패가 생겼지만 새로 들어온 사람으로서는 감지하기 어려웠던 것 아닌가?
      잘 아는 정보가 있으면 환영함. 정말 안다고 주장하는 건 아님

  • 제목이 핵심을 묻어버림. 에이전트가 작동한 계정의 소유자는 자신의 계정이 침해됐을 가능성이 높다고 했고, 조사 중인 관리자도 실제로 그럴 가능성이 높다고 보는 듯함

  • 나쁜 패치가 나쁜 건 당연하지만, 이미 여유가 없는 관리자에게 자신감 있어 보이는 잡음을 만들어내는 건 정말 좋지 않음
    이슈 추적기와 PR은 점점 더 신뢰하기 어려워지고 있음. 다만 AI가 오픈소스에 많이 도움이 되는 것도 사실이라, 출처, 자동화된 이슈 행동, 기여자 행동의 갑작스러운 변화에 대한 가드레일이 분명 필요함

  • “5월 27일 이후 Williamson은 Giovannini가 개인적으로 답해 자신의 자격 증명이 침해됐고, AI 시스템 뒤에 있는 사람이 자신이 아니라고 말했다고 했다”
    그렇다면 간단함. 모든 변경을 애초에 없었던 것처럼 되돌리면 되지 않나?

  • 머릿속에서 여러 번 왔다 갔다 했음. Fedora를 정말 좋아하고 그 OS에서 가장 편하지만, 이런 지속적인 공급망 침해는 잠을 설치게 만듦
    같은 커뮤니티 규모와 빌드 시스템 등을 갖춘 Fedora LTS가 있었으면 좋겠음. 그런 점들과 투명성이 정말 마음에 들기 때문임
    어떤 OS든 우려가 있다는 건 알고 있고 관련 통찰이나 논의도 환영하지만, 릴리스 사이 체류 시간과 내 시스템에 도달하는 시간 사이의 균형, 그리고 충분한 가시성과 사용량 덕분에 무언가 잡힐 가능성을 고려하면, 지루한 Ubuntu LTS 인스턴스를 쓰는 쪽이 조금 더 마음 편함
    물론 이번 건 시스템 패키지가 아니라 설치 프로그램이었다는 것도 알고 있음

답변달기