---
title: "AI 버그 리포트가 하룻밤 사이에 쓰레기에서 진짜로 바뀌었다 — 리눅스 커널 메인테이너 인터뷰"
published: 2026-03-27T20:30:35.000Z
canonical: https://jeff.news/article/1324
---
# AI 버그 리포트가 하룻밤 사이에 쓰레기에서 진짜로 바뀌었다 — 리눅스 커널 메인테이너 인터뷰

Greg Kroah-Hartman에 따르면 한 달 전부터 AI가 생성한 보안 리포트의 품질이 갑자기 점프했으며, 모든 오픈소스 프로젝트가 같은 현상을 겪고 있음. Google이 개발한 AI 리뷰 도구 Sashiko가 Linux Foundation 프로젝트로 기증됨.

- 리눅스 커널 메인테이너 Greg Kroah-Hartman이 KubeCon Europe에서 밝힌 내용: **한 달 전부터 AI가 생성한 보안 리포트의 품질이 갑자기 점프**함. 아무도 예상 못 한 변화라고
- "몇 달 전만 해도 'AI slop'이라 부르는 명백히 틀리거나 저품질인 AI 보안 리포트를 받았는데, 웃기기만 했지 걱정까진 안 됐음. **그런데 한 달 전 뭔가가 바뀌었고, 이제 진짜 리포트가 들어옴**"
- 리눅스만의 현상이 아님. "모든 오픈소스 프로젝트가 AI로 작성된 진짜 리포트를 받고 있고, 모든 오픈소스 보안팀이 지금 이 상황에 직면해 있음"

> [!IMPORTANT]
> 원인은 아무도 모름. "도구가 갑자기 좋아진 건지, 사람들이 뭔가를 알아낸 건지 모르겠다. 여러 그룹, 여러 회사에서 동시에 일어나는 것 같다"고 Greg KH가 직접 말함

- cURL의 경우 AI slop 리포트 때문에 **버그 바운티 지급을 아예 중단**한 바 있는데, 리눅스 커널은 팀이 크고 분산되어 있어서 어찌저찌 감당은 되는 상황. 문제는 작은 프로젝트들 — 갑자기 쏟아지는 그럴듯한 AI 버그 리포트를 처리할 역량이 부족함
- AI가 코드 리뷰어와 어시스턴트로도 활발히 쓰이기 시작함. Greg KH 본인이 직접 실험한 결과: **"60개 문제와 패치를 뱉어냈는데, 1/3은 틀렸지만 실제 문제를 가리키긴 했고, 2/3는 맞았음."** 물론 인간의 정리 작업은 필요했지만 쓸모없진 않았다는 거임
- **Sashiko**라는 도구가 핵심 — Google이 개발해서 Linux Foundation에 기증한 AI 리뷰 도구. 현재 거의 모든 커널 패치에 대해 돌아가고 있음. 이전에는 리소스 있는 서브시스템만 AI 도구를 돌릴 수 있었는데, LF 프로젝트화되면서 모든 프로젝트에 접근권이 열림
- 네트워킹/BPF 쪽은 이미 LLM 기반 리뷰를 한동안 해왔고, DRM(Direct Rendering Manager) 쪽과 Google 도구가 이걸 **하나의 공통 인터페이스로 통합**하는 중. 서브시스템별로 "스토리지는 이것 봐라, 그래픽은 저것 봐라" 같은 특화 프롬프트를 기여하는 방식
- AI 리뷰의 가장 큰 즉각적 이점은 **피드백 속도**임. 인간 메인테이너가 패치를 읽기 훨씬 전에 명백한 문제를 잡아주니까, 개발자가 "아 내일 새 버전 만들어야겠다"를 더 빨리 판단할 수 있음
- Meta의 Chris Mason이 eBPF/네트워킹에서 AI 리뷰 워크플로우를 선도했고, systemd 프로젝트도 같은 종류의 도구를 쓰고 있음
- 핵심 딜레마: AI가 새로운 진짜 취약점을 찾아내서 리뷰 부담을 늘리는 동시에, 그 부담을 관리하는 데도 AI가 쓰이고 있음. **양날의 검이 아니라, 같은 칼로 베이면서 같은 칼로 봉합하는 격**

## 핵심 포인트

- AI 보안 리포트가 한 달 전부터 갑자기 품질 향상, 원인 불명
- AI 패치 실험 결과 2/3가 유효, 1/3은 틀렸지만 실제 문제를 가리킴
- Sashiko 도구가 LF 프로젝트화되어 모든 오픈소스 프로젝트에 접근 가능
- AI가 취약점을 찾아 리뷰 부담을 늘리면서 동시에 리뷰 부담을 줄여주는 양면성

## 인사이트

AI slop에서 진짜 리포트로의 전환이 갑자기 일어났다는 점이 흥미로움. 도구의 점진적 개선이 아니라 어떤 임계점을 넘은 것 같다는 현장 증언.