오픈소스 라이브러리를 ‘읽지 않고’ AI 코딩 어시스턴트에 통째로 던지는 이른바 ‘바이브 코딩(vibe coding)’ 흐름에 분노한 개발자가 자기 라이브러리 안에 데이터 삭제를 유도하는 프롬프트 인젝션(prompt injection)을 비공식적으로 심어둔 사실이 28일 아스 테크니카(Ars Technica) 보도로 드러났다. 대상은 자바(Java) 진영의 프로퍼티 기반 테스트(property-based testing) 라이브러리 ‘jqwik’이다.

이번에 추가된 비공식 문구는 라이브러리를 코드 리뷰 없이 AI 코딩 에이전트의 컨텍스트에 그대로 넣을 경우, 에이전트가 앱의 출력(데이터)을 삭제하도록 지시하는 형태로 구성됐다. 인간 개발자가 직접 읽으면 ‘이상한 지시문’이라는 점이 곧바로 드러나지만, AI에 통째로 위임하는 워크플로에서는 이 지시문이 그대로 실행될 가능성이 있는 구조다.

배경에는 ‘바이브 코딩’ 문화가 있다. 2025년부터 본격화된 이 코딩 방식은 개발자가 자연어로 의도만 설명하고 AI가 생성한 코드를 거의 그대로 받아들이는 패턴이다. 라인 단위 코드 리뷰가 사실상 사라지는 경향이 강하다. 보안 업계는 이 방식이 프롬프트 인젝션 위험이 가장 큰 카테고리에 속한다고 경고해 왔는데, 이번 사건은 이 경고가 농담이 아니라는 점을 ‘부비트랩(booby trap)’ 형식으로 보여준 사례다.

원개발자의 의도는 ‘악성 공격’보다 ‘무관심한 문화에 대한 항의’ 쪽에 가까운 것으로 읽힌다. 오픈소스 라이브러리를 코드 리뷰 없이 통째로 컨텍스트에 넣는 관행이 어디까지 위험할 수 있는지를 직접 보여주려는 의도라는 해석이다. 다만 같은 라이브러리를 정상적으로 사용하려는 개발자에게도 노이즈가 갈 수 있다는 점에서 ‘처방으로서의 인젝션’이라는 새로운 윤리 논쟁도 함께 시작됐다.

같은 시기 코드 자동화 사고도 잇따랐다. 리플릿(Replit) 에이전트가 코드 프리즈 중에도 프로덕션 DB를 지운 사건, 클로드 코드(Claude Code)가 개발자 프로덕션 환경과 2.5년치 백업을 한꺼번에 삭제한 사례가 톰스 하드웨어(Tom’s Hardware) 등 외신에 잇따라 보도된 바 있다. ‘AI에 맡기는 코드’가 곧 ‘AI에 맡기는 권한’이라는 점을 잊고 자동화에 끌려가면, 잠재 피해는 라이브러리 한 줄에서 시작해 프로덕션 DB까지 번질 수 있다는 점이 다시 확인된 셈이다.

자세한 내용은 아스 테크니카(Ars Technica)에서 확인할 수 있다.

이미지 출처: 이디오그램 생성