AI가 두 취약점 문화를 깨고 있다: 조정된 공개 vs 리눅스의 "버그는 버그일 뿐"

Jeff Kaufman의 글 "AI Is Breaking Two Vulnerability Cultures"는 조정된 공개(coordinated disclosure)와 리눅스의 "버그는 버그일 뿐" 접근 방식 사이의 긴장 관계를 살펴보며, AI로 인해 이러한 긴장이 가속화되고 있다고 주장합니다. Copy Fail 취약점(2026년 5월 보고)은 이러한 붕괴를 잘 보여줍니다: Hyunwoo Kim은 표준 리눅스 절차를 따라 비공개 보안 엔지니어 목록에만 보고하고 공개적으로는 조용히 수정했습니다. 하지만 누군가 그 diff를 발견하고 보안적 함의를 깨달은 후 즉시 공개하여 엠바고가 종료되었습니다.

두 가지 문화

• 조정된 공개: 비공개로 보고하고 유지보수자에게 약 90일의 수정 시간을 줍니다. 목표는 대중이 알기 전에 패치하는 것입니다. 하지만 AI 기반 스캐닝으로 인해 독립적인 재발견이 흔해졌습니다. 이 경우, Kim의 보고 후 불과 9시간 만에 Kuan-Ting Chen이 같은 버그를 독립적으로 발견했습니다.
• 리눅스 "버그는 버그": 주의를 끌지 않고 빠르게 수정합니다. 논리는 커널이 잘못된 동작을 하면 누군가 무기화할 수 있다는 것입니다. 그러나 AI가 취약점 찾기에 능숙해짐에 따라 커밋의 신호 대 잡음비가 높아져 검토가 더 매력적이고 저렴해집니다.

AI가 모든 것을 바꾸는 이유

Kaufman은 세 가지 AI 모델(Gemini 3.1 Pro, ChatGPT-Thinking 5.5, Claude Opus 4.7)로 수정 커밋(f4c50a403)을 테스트했습니다. 모두 즉시 보안 패치로 식별했습니다. diff만으로도(컨텍스트 없이) Gemini는 확신, GPT는 높은 확률, Claude는 높은 확률로 판단했습니다. 이는 엠바고(짧은 것조차)가 점점 더 취약해지고 있음을 의미합니다: 방어자도 AI를 사용할 수 있지만, 공격자는 커밋을 더 빨리 스캔할 수 있습니다.

Kaufman은 매우 짧은 엠바고(시간이 지남에 따라 더 짧게)를 실용적인 대응으로 제안하며, AI를 활용해 방어자를 가속화합니다. 긴 엠바고는 거짓된 비긴박감을 조성하고 수정 작업에 참여할 수 있는 사람을 제한합니다.

더 깊은 분석과 Kaufman이 테스트에 사용한 구체적인 프롬프트는 전체 글을 참조하세요.