GitHub AI 스팸 봇 막은 방법: Git --author 플래그 활용
Original: We stopped AI bot spam in our GitHub repo using Git's -author flag View original →
배경: AI 봇 스팸의 실태
오픈소스 저장소가 AI 봇 스팸으로 어려움을 겪고 있다는 이야기는 많지만, 수치로 보면 더 충격적이다. Archestra의 경우 현상금 이슈 하나에 AI 봇 댓글 253개가 쌓였고, 기능 요청 하나에 테스트도 없는 PR이 27개나 올라왔다. 팀원 한 명이 주 절반을 스팸 제거에 써야 했으며, 정작 진지한 기여자들은 노이즈에 묻혔다.
해결책: 기여자 온보딩 + Git --author 플래그
1단계 — 온보딩 검증: 저장소 접근 전에 윤리적 AI 사용 동의와 CAPTCHA 인증을 요구한다. GitHub의 prior contributors 제한 설정을 활용해 미검증 계정을 차단한다.
2단계 — Git --author 플래그: Git은 커밋 작성자(author)와 커미터(committer)를 구분한다. --author 플래그와 사용자의 noreply 이메일([email protected])을 함께 사용하면, 직접 푸시 권한 없이도 외부 기여자 이름으로 커밋을 만들 수 있다.
플로우: 사용자가 온보딩을 완료하면 GitHub Action이 API로 해당 사용자 ID를 조회하고, 팀이 그 계정의 이름으로 커밋을 생성한다. 그 순간부터 해당 사용자는 prior contributor로 인식되어 댓글·PR 권한을 얻는다.
핵심 통찰
저장소 통계(기여자 수, PR 수)는 품질을 반영하지 않는다. AI 도구 자체가 문제가 아니라, 검증 없이 대량으로 쏟아지는 AI 생성 기여물이 문제다. 이 접근법은 AI 보조 기여와 순수 AI 스팸을 구분하는 실용적 경계선을 만든다.
Related Articles
리누스 토발즈가 AI 기반 버그 헌팅 도구들이 동일한 취약점 리포트를 대량 중복 생성해 Linux 커널 보안 메일링 리스트가 사실상 관리 불가 상태에 이르렀다고 경고했다. 토발즈는 AI 탐지 버그를 그냥 제출하지 말고 패치를 만들어 진정한 가치를 더하라고 촉구했다.
HN이 이 글에 반응한 이유는 fake stars 자체보다, AI/LLM repo 시대에 “인기”라는 신호가 얼마나 싸게 만들어질 수 있는지였기 때문이다. 댓글들은 star 수 대신 commit, issue, code, 실제 사용자 흔적을 보라고 모였다.
HN은 이번 일을 단순한 호스팅 이동으로 읽지 않았다. GitHub에 애정이 깊던 maintainer가 더는 못 버티겠다고 나서는 순간, reliability와 product focus 문제는 배경 소음이 아니라 경고가 된다.
Comments (0)
No comments yet. Be the first to comment!