배경 및 맥락
오픈소스 보안은 더 이상 취약점 발견 도구의 성능만으로 설명되지 않는다. AI-assisted coding과 AI-assisted security research가 보편화되면서 보고서, private vulnerability report, CVE 요청, repository advisory가 동시에 증가하고 있다. 이 흐름은 Dependabot이나 SCA 도구가 읽는 advisory database의 품질과 지연 시간에 직접적인 영향을 준다.
최근 캐시에는 OpenAI Patch the Planet처럼 AI-assisted remediation loop와 Microsoft AutoJack처럼 agent control plane 보안 문제가 있었다. 이번 항목은 특정 취약점이나 agent RCE가 아니라, 취약점 공개와 advisory curation 인프라가 AI 시대의 입력량을 감당하는 방식에 초점이 있다.
핵심 내용
GitHub는 2026년 6월 29일 Advisory Database 운영 상황을 공개하며, 2026년 5월에 1,560개의 reviewed advisory를 발행했다고 밝혔다. 이는 평소 월간 처리량의 5배 이상이며 GitHub Advisory Database 역사상 최고치다. 3월부터 5월까지는 기존 advisory 업데이트, 신규 advisory 발행, inbound advisory review를 포함해 월 6,000건 이상의 advisory decision이 지속됐다.
입력량 증가도 구조적이다. Private vulnerability report는 1월 약 550건/주에서 5월 대부분 기간 3,000건/주 이상으로 늘었고, repository advisory는 약 650건/주에서 5,000건/주 이상으로 증가했다. GitHub CNA CVE 요청은 5월에 거의 4,000건에 도달해 전년 대비 약 10배 수준이었다. GitHub는 reviewed advisory 품질은 유지되고 있지만, publication time이 일부 항목에서 주 단위로 늘어 exposure window가 커질 수 있다고 설명했다.
경쟁 구도 / 비교
보안 도구 시장은 scanner, SCA, SBOM, exploit prediction, AI remediation을 강조하지만, 실제 remediation의 출발점은 정확한 advisory metadata다. 패키지 이름, ecosystem, affected version range, fixed version, CVSS vector가 부정확하면 자동화된 alert와 patch recommendation도 흔들린다.
GitHub의 별도 community discussion은 AI-generated low-quality report가 maintainer 시간을 소모하고 trust를 낮추는 문제를 지적하며, AI-assisted triage suggestion, duplicate/similarity check, SECURITY.md scope validation 같은 보조 기능을 검토한다고 밝혔다. 핵심은 AI가 발견량을 늘리는 동시에, 검증과 조율 workflow도 AI와 구조화 데이터로 재설계해야 한다는 점이다.
의미
산업적으로 취약점 disclosure pipeline은 AI 시대의 새로운 supply-chain bottleneck이 되고 있다. 코드 생성과 취약점 발견이 빨라져도 advisory curation, CVE assignment, maintainer coordination이 따라가지 못하면 실제 보안 개선은 지연된다.
실무적으로는 보안팀이 CVE 건수만 추적하지 말고 advisory latency, rejected/duplicated report rate, affected version completeness, maintainer response SLA, private fork CI 가능 여부를 함께 봐야 한다. AI-assisted 보고서를 허용하더라도 evidence, reproduction, version 범위, disclosure intent가 없으면 triage queue를 오염시키므로 접수 기준을 명확히 해야 한다.