curl 프로젝트 — AI Slop이 bug bounty 프로그램을 종료시키다 (2026-01-26)
별칭: curl AI Slop · Death by a thousand slops · bug bounty 종료
요약
전 세계 인터넷 인프라의 핵심 도구인 curl (HTTP 통신 라이브러리, 30 년 이상 운영) 의 메인테이너 entity/daniel-stenberg 는 2025 년 7 월 14 일 자신의 블로그에 "Death by a thousand slops (천 개의 슬롭에 의한 죽음)" 라는 제목의 글을 올렸다. 그는 AI 가 생성해낸 그럴듯해 보이지만 근거가 없는 보안 취약점 리포트 가 자신의 메일함을 가득 채우고 있다 고 토로했다. 이런 리포트들은 AI 가 학습 시점에 본 적 있는 보안 패턴 을 curl 의 코드와 무관하게 일반화해서 만들어낸 결과물이었고, 메인테이너는 그 한 건 한 건이 진짜인지 검토해야 했다 — 수백 시간이 의미 없는 검증에 소진되었다. 결국 2026 년 1 월 26 일, Stenberg 는 curl 의 bug bounty 프로그램 (보안 제보자에게 보상금을 주는 프로그램) 을 공식 종료 한다고 발표 했다. 30 년 운영된 오픈 소스 인프라가 AI 가 만들어내는 부산물 에 의해 고사 (枯死) 한 것이다. 본 사례가 7 사고 중 결이 다른 점은 — 다른 사례들이 AI 사용자 자신의 실패 라면, curl 사례는 AI 사용자가 아닌 제 3 자가 피해를 본 사례 다. AI 슬롭 (slop) 의 외부 비용이 프로젝트 자체를 고사 시킬 수 있음을 보여준다.
상세
시간선
| 일자 | 사건 |
|---|---|
| 2025-07-14 | Stenberg 블로그 "Death by a thousand slops" 발표 |
| 2026-01-26 | curl bug bounty 프로그램 종료 결정 |
핵심 인용
"AI slop … hurts and exhausts us." — Daniel Stenberg (30년+ curl 유지보수)
메커니즘
- AI가 생성한 그럴듯한 보안 리포트 가 대량 제출
- 1차 출처·재현 환경·근거 없음
- 유지보수자가 검토에 시간 낭비
- 진짜 보안 리포트와 노이즈를 구분하는 비용 폭증
- 결과: bug bounty 프로그램 폐쇄 (외부 보안 리서처가 보고할 통로 자체 차단)
강의 활용
02 VBC lesson/vbc-failures-and-causes 결이 다른 사례 로:
- 메시지:
- "코드만의 문제가 아닙니다."
- "설계·재현·검증 없이 생성된 모든 AI 산출물이 문제입니다."
- "바이브 코딩의 출력물 = 검토자가 있어야만 가치가 있습니다."
- 검토 가능성(specifiability) 이 왜 설계에서 나오는지 — 04 DSL 사전 노출.
주의사항
- 다른 사례와의 결 차이: 다른 6개 사례가 내부 사고 라면 curl 은 외부 피해. 강의에서 AI 부산물의 사회적 비용 이라는 다른 각도로 짧게 짚어준다.
- 30년 권위: Stenberg 의 30+ 년 오픈소스 유지보수 경력이 발언의 무게. 슬라이드에 명기.
- AI 비판 균형: AI = 악 으로 흐르지 않도록 검토자가 있어야 가치 라는 책임 재분배 메시지로 닫는다.
- bug bounty 종료의 함의: 단순 비즈니스 결정이 아니라 오픈소스 생태계 신뢰 구조의 침식 — 강의에서 한 문장 짚어주면 무게가 생긴다.