AI bug hunting 때문에 source를 닫는다? HN은 Open Source의 계산을 다시 물었다

HN에서 351점과 182개 댓글을 모은 Open Source Isn't Dead는 Cal.com 사례를 빌려 open source와 AI security의 오래된 논쟁을 다시 끌어올렸다. 원문 Strix 글의 핵심은 명확하다. AI가 vulnerability discovery를 더 싸고 빠르게 만들었지만, source를 닫는다고 실제 attack surface가 없어지는 것은 아니라는 주장이다.

커뮤니티가 반응한 이유는 이 문제가 추상적인 철학 논쟁이 아니기 때문이다. 한 maintainer는 최근 몇 달 사이 AI로 작성된 듯한 security report가 크게 늘었고, 그중 상당수는 corner case였지만 일부는 실제 취약점이었다고 설명했다. 이 관점에서 closed source는 리포트를 줄일 수는 있어도 공격 자체를 막지 못한다. 자동화된 공격자는 여전히 실행 중인 서비스를 관찰하고 fuzzing하며 비용을 낮출 수 있다.

반대편에서는 Cal.com의 설명이 security보다 business model에 가까운 명분일 수 있다고 봤다. Open Source SaaS를 유지하는 일은 어렵고, AI가 codebase 이해와 복제를 쉽게 만들면서 상업적 방어선이 약해졌다는 해석이다. 또 다른 댓글 흐름은 security through obscurity를 완전히 무가치하게 볼 수 없다고 지적했다. 유일한 방어막으로 쓰면 위험하지만, 공격자의 token과 시간을 더 쓰게 만드는 보조 장치로는 기능할 수 있다는 것이다.

이 thread가 남긴 실용적 질문은 “open or closed”보다 좁고 날카롭다. AI가 공격과 방어 양쪽의 비용 구조를 바꾼다면, 공개 repository는 triage 자동화, reproducible reports, continuous scanning을 어떻게 흡수할 것인가. 동시에 closed-source 제품은 community audit 없이 같은 수준의 검증을 어떻게 증명할 것인가. HN의 에너지는 open source가 끝났는지가 아니라, AI 시대의 maintenance가 더 비싸졌다는 사실을 누가 감당할지에 모였다.