GitHub, Dependabot alert를 AI agent에 할당해 remediation 초안 PR 생성

GitHub는 2026년 4월 7일, Dependabot alert를 AI coding agent에 직접 할당해 remediation을 진행할 수 있다고 발표했다. 이번 기능은 단순 version bump로 끝나지 않고 repository 전반의 code 변경이 필요한 취약점 대응을 겨냥한다. GitHub 설명에 따르면 사용자는 alert detail page에서 Copilot, Claude, Codex 중 원하는 agent를 선택하고, 그 결과로 draft pull request 형태의 수정 제안을 받을 수 있다.

선택된 agent는 security advisory 내용과 repository 안에서 문제가 되는 dependency가 실제로 어떻게 사용되는지 함께 분석한다. 이후 proposed fix가 담긴 draft PR을 만들고, dependency update로 인해 생긴 test failure를 해결하려고 시도한다. GitHub는 여러 agent를 같은 alert에 동시에 할당할 수도 있다고 밝혔는데, 이는 maintainer가 한 모델의 답만 믿지 않고 remediation 접근법을 비교할 수 있게 한다.

• breaking API 또는 type change가 포함된 major version upgrade
• patched release가 없어 마지막 안전 버전으로 내려가야 하는 package downgrade
• 기존 rule-based Dependabot engine이 처리하기 어려운 복잡한 pull request

이 기능이 중요한 이유는 software supply chain workflow에서 분리돼 있던 탐지와 수정을 하나의 흐름으로 묶기 때문이다. Dependabot는 이미 구조화된 detection과 routine update를 담당해 왔다. 이제 coding agent는 repository 맥락에 맞는 code surgery가 필요한 구간에 투입된다. 즉 alert 자체가 vulnerability detection에서 code remediation으로 넘어가는 handoff 지점이 되는 셈이다.

GitHub는 한계도 분명히 적었다. AI-generated fix가 항상 정확한 것은 아니며, 사용자는 pull request를 직접 검토하고 tests가 통과하는지 확인하며 보안 문제가 실제로 해결됐는지 검증해야 한다. 이 기능은 GitHub Code Security와 coding agent access가 포함된 Copilot plan이 필요하다. security team 입장에서는 human review를 없애는 기능이라기보다, engineering 시간이 많이 드는 alert backlog를 줄일 수 있는 가속 장치에 가깝다.