GitHub 저장소 소유자: AI 봇 스팸을 차단하기 위해 Git의 --author 플래그 사용

Archestra(AI 플랫폼 스타트업) 팀은 AI 봇 스팸에 빠져들고 있었습니다. 단일 현상금 이슈에 253개의 댓글, 한 기능에 대해 테스트되지 않은 27개의 PR, 주간 정리에 반나절이 소요되었습니다. 리포지토리가 실제 기여자에게 적대적으로 변했습니다. 화이트리스트가 필요했지만, GitHub는 공개 리포지토리에 대해 기본적으로 지원하지 않습니다. 그들의 영리한 해결책: Limit to prior contributors 설정과 Git의 --author 플래그를 악용하는 것입니다.

문제: GitHub의 AI 쓰레기

봇들은 끝없는 '구현 계획'과 공격적인 답변을 생성했습니다. @ethanwater, @developerfred, @Geetk172 같은 실제 기여자들은 무시당했습니다. 첫 번째 시도인 'London-Cat'이라는 평판 봇조차 스팸을 막지 못했습니다. 'AI 보안관' 봇은 합법적인 PR을 닫았습니다. 유일한 진정한 해결책은 기여를 인간 검증 뒤에 가두는 것이었습니다.

화이트리스트 해킹 방법

GitHub의 'Limit to prior contributors' 설정은 main에 커밋을 작성한 적이 없는 사람을 차단합니다. 그러나 Git 커밋에는 author와 committer라는 두 가지 신원 필드가 있습니다. --author를 사용하면 커밋을 다른 사람에게 귀속시킬 수 있습니다. GitHub는 이메일이 대상 사용자의 GitHub noreply 이메일(<id>+<username>@users.noreply.github.com)과 일치하면 기여자 상태를 부여합니다.

# 사용자의 GitHub ID 조회
gh api users /their-username --jq '.id'

# 해당 이름으로 커밋 (이메일 = [email protected])
git commit \
  --author="their-username <[email protected]>" \
  -m "chore: add their-username to external contributors"

main에 푸시하면 해당 사용자는 즉시 댓글을 달고, 이슈를 열고, PR을 제출할 수 있습니다. 커밋에는 외부 사용자가 작성자로 표시되고, 귀하의 계정은 커미터로 표시됩니다. 이것이 GitHub가 그들을 'prior contributor'로 간주하는 데 필요한 전부입니다.

전체 온보딩 흐름

1. 사용자가 archestra.ai/contributor-onboard를 방문하여 CAPTCHA를 완료하고 윤리적 AI 규칙에 동의합니다.
2. 양식 제출 시 GitHub Action이 실행되어 API를 통해 사용자의 GitHub ID를 조회하고 해당 핸들을 EXTERNAL_CONTRIBUTORS.md 파일에 추가합니다.
3. 액션이 외부 사용자를 작성자로 하는 커밋을 main에 푸시하여 즉시 기여자 상태를 부여합니다.

이것은 GitHub 활동을 측정하는 VC 자금 지원 스타트업에게는 극단적인 선택이지만, 품질이 허영심 지표를 이겼습니다.

임시방편이지만 작동합니다. 타사 스팸 필터 없이 Git의 신원 필드와 두 단계 검증 흐름을 영리하게 사용한 것입니다.