GitHub AI 스팸 봇 막은 방법: Git --author 플래그 활용
Original: We stopped AI bot spam in our GitHub repo using Git's -author flag View original →
배경: AI 봇 스팸의 실태
오픈소스 저장소가 AI 봇 스팸으로 어려움을 겪고 있다는 이야기는 많지만, 수치로 보면 더 충격적이다. Archestra의 경우 현상금 이슈 하나에 AI 봇 댓글 253개가 쌓였고, 기능 요청 하나에 테스트도 없는 PR이 27개나 올라왔다. 팀원 한 명이 주 절반을 스팸 제거에 써야 했으며, 정작 진지한 기여자들은 노이즈에 묻혔다.
해결책: 기여자 온보딩 + Git --author 플래그
1단계 — 온보딩 검증: 저장소 접근 전에 윤리적 AI 사용 동의와 CAPTCHA 인증을 요구한다. GitHub의 prior contributors 제한 설정을 활용해 미검증 계정을 차단한다.
2단계 — Git --author 플래그: Git은 커밋 작성자(author)와 커미터(committer)를 구분한다. --author 플래그와 사용자의 noreply 이메일([email protected])을 함께 사용하면, 직접 푸시 권한 없이도 외부 기여자 이름으로 커밋을 만들 수 있다.
플로우: 사용자가 온보딩을 완료하면 GitHub Action이 API로 해당 사용자 ID를 조회하고, 팀이 그 계정의 이름으로 커밋을 생성한다. 그 순간부터 해당 사용자는 prior contributor로 인식되어 댓글·PR 권한을 얻는다.
핵심 통찰
저장소 통계(기여자 수, PR 수)는 품질을 반영하지 않는다. AI 도구 자체가 문제가 아니라, 검증 없이 대량으로 쏟아지는 AI 생성 기여물이 문제다. 이 접근법은 AI 보조 기여와 순수 AI 스팸을 구분하는 실용적 경계선을 만든다.
Related Articles
공개 저장소 이슈에 숨긴 지시가 조직의 private repo 접근으로 이어질 수 있다는 실험이 HN에서 가장 뜨거운 쟁점이 됐다.
보안 알림의 양보다 신뢰도가 더 중요한 단계로 들어섰다. GitHub는 LLM 기반 문맥 검증을 적용해 secret scanning 오탐을 목표치 65%보다 높은 75.76% 줄였다고 공개했다.
AI 코딩 자동화 도구 OpenClaw가 React를 제치고 GitHub 역사상 가장 빠른 속도로 성장해 최다 스타 소프트웨어 프로젝트가 됐다. 스타의 진위성에 대한 논의도 함께 불거졌다.