GitHub, Dependabot alert를 AI coding agent에 할당 가능하게 함

GitHub은 2026년 4월 7일 Dependabot alert를 AI coding agent에 직접 할당해 remediation을 시도할 수 있는 기능을 추가했다. 이제 사용자는 Dependabot alert detail page에서 Assign to Agent를 선택한 뒤 Copilot, Claude, Codex 같은 coding agent를 고를 수 있다. GitHub에 따르면 할당된 agent는 advisory 세부사항과 repository의 dependency usage를 분석하고, 수정안이 담긴 draft pull request를 열며, 업데이트 과정에서 생긴 test failure를 해결하려 시도한다.

GitHub은 이 기능이 필요한 이유를 "모든 vulnerability가 단순한 version bump로 해결되지는 않는다"는 점으로 설명했다. 주요 version upgrade가 breaking API change, deprecated method, incompatible type signature를 동반하면 dependency를 바꾸는 것만으로는 충분하지 않고 application code를 함께 고쳐야 한다. GitHub은 이러한 상황에서 Dependabot이 version bump를 전담하고, coding agent가 실제 code change와 test repair를 담당하는 협업 모델이 작동한다고 설명했다.

What the agents can do

GitHub은 여러 agent를 하나의 alert에 동시에 할당할 수 있게 했다. 각 agent는 독립적으로 작동하며 각자 draft PR을 생성하므로, 팀은 동일한 security issue에 대한 여러 수정 접근을 비교할 수 있다. GitHub은 또한 패치 버전이 없고 package가 compromised되었거나 malware가 포함된 경우, agent가 마지막 안전한 버전으로 downgrade하는 시나리오도 염두에 두고 있다고 밝혔다.

다만 GitHub은 AI-generated fix가 항상 올바르지는 않다고 명시했다. 사람은 pull request를 리뷰하고 tests가 통과했는지 확인하며, 수정이 정말로 적절한지 검토해야 한다. 이 기능은 GitHub Code Security와 coding agent access가 포함된 Copilot plan을 필요로 하고, github.com에서 제공된다. 의미는 분명하다. GitHub은 supply-chain security workflow에서 찾아내기와 수정하기 사이의 공백을 AI agent로 메우려 하고 있지만, 최종 책임과 판단은 여전히 human review에 남겨둔다.