---
title: "AI 지원 취약점 탐색 급증에 버그 바운티 프로그램 잇따라 중단"
published: 2026-04-06T02:05:03.230Z
canonical: https://jeff.news/article/1568
---
# AI 지원 취약점 탐색 급증에 버그 바운티 프로그램 잇따라 중단

AI가 취약점 탐색을 자동화하면서 저품질 버그 리포트가 폭증하고, 해커원 IBB·Node.js·Curl·구글 오픈소스 보상 프로그램이 잇따라 제출을 중단하거나 AI 생성 리포트를 거부하고 있어

- 해커원(HackerOne)이 운영하는 인터넷 버그 바운티(IBB) 프로그램이 신규 제출을 일시 중단했어
  - 2012년부터 운영돼 온 프로그램으로, 지금까지 총 150만 달러 넘게 지급해왔고
  - 지급 비율은 결함 발견 80%, 수정 지원 20% 구조였어
- AI가 취약점 탐색을 쉽게 만들면서 발견과 수정 역량 사이의 균형이 깨지고 있는 상황
  - 버그를 찾는 건 AI로 빨라졌는데, 수정하는 쪽은 아직 사람 손이 필요하니까 병목이 생기는 거지
- Node.js가 가장 먼저 영향을 받아서 보상 지급을 중단했고
  - 1월에는 Curl 프로젝트도 제출을 막았어
  - 지난달에는 구글도 오픈소스 취약점 보상 프로그램에서 AI 생성 제출물을 받지 않기로 했어
- AI발 저품질 버그 리포트 폭증이 오픈소스 보안 생태계 전반에 부담을 주는 흐름
  - 메인테이너 입장에서는 쏟아지는 리포트를 검증하는 것 자체가 일이 되고 있어

### 기술 맥락

- 버그 바운티 프로그램은 외부 보안 연구자에게 취약점을 찾아서 보고하면 보상을 주는 구조야
  - 오픈소스 프로젝트는 전담 보안팀이 없는 경우가 많아서 이런 프로그램에 의존도가 높았어
- AI로 취약점을 자동 탐색하면 대량의 리포트가 생성되는데, 상당수는 오탐이거나 이미 알려진 건이야
  - 진짜 유효한 버그와 노이즈를 구분하는 트리아지(triage) 비용이 급격히 올라가는 게 핵심 문제
- 장기적으로 오픈소스 보안 모델 자체를 재설계해야 할 수도 있다는 논의가 나오고 있어

## 핵심 포인트

- 해커원 인터넷 버그 바운티 프로그램 신규 제출 일시 중단
- Node.js·Curl·구글 등 주요 오픈소스 프로젝트도 연쇄적으로 제출 제한
- AI가 버그 발견은 빠르게 하지만 수정은 여전히 사람 몫이라 불균형 심화
- 트리아지 비용 증가로 오픈소스 보안 생태계 모델 재설계 논의 시작

## 인사이트

AI가 보안 연구를 민주화한 게 아니라 노이즈를 민주화해버린 거라서, 오픈소스 보안 모델의 근본적인 재설계가 필요해 보여