AI 버그 리포트가 하룻밤 사이에 쓰레기에서 진짜로 바뀌었다 — 리눅스 커널 메인테이너 Greg KH 인터뷰

• 리눅스 커널 메인테이너 Greg Kroah-Hartman이 KubeCon Europe에서 밝힌 내용: 한 달 전부터 AI가 생성한 보안 리포트의 품질이 갑자기 점프함. 아무도 예상 못 한 변화라고
• "몇 달 전만 해도 'AI slop'이라 부르는 명백히 틀리거나 저품질인 AI 보안 리포트를 받았는데, 웃기기만 했지 걱정까진 안 됐음. 그런데 한 달 전 뭔가가 바뀌었고, 이제 진짜 리포트가 들어옴"
• 리눅스만의 현상이 아님. "모든 오픈소스 프로젝트가 AI로 작성된 진짜 리포트를 받고 있고, 모든 오픈소스 보안팀이 지금 이 상황에 직면해 있음"

• cURL의 경우 AI slop 리포트 때문에 버그 바운티 지급을 아예 중단한 바 있는데, 리눅스 커널은 팀이 크고 분산되어 있어서 어찌저찌 감당은 되는 상황. 문제는 작은 프로젝트들 — 갑자기 쏟아지는 그럴듯한 AI 버그 리포트를 처리할 역량이 부족함
• AI가 코드 리뷰어와 어시스턴트로도 활발히 쓰이기 시작함. Greg KH 본인이 직접 실험한 결과: "60개 문제와 패치를 뱉어냈는데, 1/3은 틀렸지만 실제 문제를 가리키긴 했고, 2/3는 맞았음." 물론 인간의 정리 작업은 필요했지만 쓸모없진 않았다는 거임
• Sashiko라는 도구가 핵심 — Google이 개발해서 Linux Foundation에 기증한 AI 리뷰 도구. 현재 거의 모든 커널 패치에 대해 돌아가고 있음. 이전에는 리소스 있는 서브시스템만 AI 도구를 돌릴 수 있었는데, LF 프로젝트화되면서 모든 프로젝트에 접근권이 열림
• 네트워킹/BPF 쪽은 이미 LLM 기반 리뷰를 한동안 해왔고, DRM(Direct Rendering Manager) 쪽과 Google 도구가 이걸 하나의 공통 인터페이스로 통합하는 중. 서브시스템별로 "스토리지는 이것 봐라, 그래픽은 저것 봐라" 같은 특화 프롬프트를 기여하는 방식
• AI 리뷰의 가장 큰 즉각적 이점은 피드백 속도임. 인간 메인테이너가 패치를 읽기 훨씬 전에 명백한 문제를 잡아주니까, 개발자가 "아 내일 새 버전 만들어야겠다"를 더 빨리 판단할 수 있음
• Meta의 Chris Mason이 eBPF/네트워킹에서 AI 리뷰 워크플로우를 선도했고, systemd 프로젝트도 같은 종류의 도구를 쓰고 있음
• 핵심 딜레마: AI가 새로운 진짜 취약점을 찾아내서 리뷰 부담을 늘리는 동시에, 그 부담을 관리하는 데도 AI가 쓰이고 있음. 양날의 검이 아니라, 같은 칼로 베이면서 같은 칼로 봉합하는 격