3월 17일, Google은 오픈소스 커뮤니티의 안정성과 보안을 향상시키기 위해 여러 대규모 기술 기업과 합류하여 오픈소스 소프트웨어 보안에 대한 새로운 대규모 투자를 실시할 것이라고 발표했습니다. 구글은 성명서에서 오픈소스 소프트웨어를 '현대 네트워크의 중추'라고 설명하고, 'AI 주도 위협'이 더욱 두드러지는 시기에 오픈소스 인프라의 보안을 보장하는 것이 중요하다고 강조했다.
Linux Foundation의 Alpha-Omega 프로젝트 창립 멤버인 Google은 "오픈 소스 커뮤니티의 안정성과 보안에 추가로 투자"하기 위해 Amazon, Anthropic, Microsoft/GitHub 및 OpenAI와 같은 회사에 총 1,250만 달러의 자금을 지원할 것이라고 밝혔습니다. 이 기금은 Alpha-Omega 및 OpenSSF가 관리하며, 주로 오픈 소스 프로젝트 유지관리자가 차세대 AI 기반 보안 위협을 처리하고, 단순히 취약점 발견에서 실제 수리로 이동하고, 고급 보안 도구를 유지관리자에게 직접 제공하여 대규모 AI 생성 보안 결과를 신속하게 실행 가능한 조치로 전환하는 데 사용됩니다.
구글은 'AI가 생성한 보안 발견'을 언급하면서 내부 AI 보안 에이전트 도구의 결과를 구체적으로 언급했다. 이르면 2025년 7월, Google의 AI 에이전트인 Big Sleep은 블랙햇 해커가 이를 무기화하기 전에 악용된 SQLite 제로데이 취약점을 발견하고 차단했습니다. 다음 달에 Google은 보안 결함을 표시할 뿐만 아니라 자동으로 코드를 다시 작성하여 패치 작업을 완료할 수 있는 "CodeMender"라는 AI 에이전트를 조용히 출시했습니다. 구글은 빅슬립(Big Sleep)과 코드멘더(CodeMender) 같은 도구가 “더 넓은 오픈소스 생태계를 보호하는 데 있어 AI의 혁신적인 잠재력을 보여준다”고 말했다.
이번 자금 조달의 배경은 다수의 중요한 오픈소스 프로젝트의 유지관리자가 "경고 피로"에 시달리고 있다는 것입니다. Python 및 React와 같은 인기 있는 프로젝트에서 관리자는 매일 AI에 의해 자동으로 생성되는 수천 개의 취약점 보고서에 직면하는데, 이는 에너지를 소비하고 품질을 심사하기가 매우 어렵습니다. 일부 프로젝트에서는 전략을 조정해야 했습니다. 예를 들어, 널리 사용되는 네트워크 도구 cURL은 오랫동안 현상금을 위해 생성된 것으로 의심되는 저품질 AI "정크 보고서"가 관리자에게 넘쳐나자 버그 현상금 프로그램을 종료하기로 결정했습니다. 이는 악의적인 행위자가 소스에 유효하지 않은 보고서를 제출하는 경제적 인센티브를 차단하기 위한 것입니다.
여러 거대 기술 기업이 시작한 Google의 재정 지원은 엄청난 압박을 받고 있는 오픈소스 유지 관리 팀에 보다 직접적이고 지속 가능한 지원을 제공하기 위한 것입니다. 업계 관점에서 이는 대규모 클라우드 및 AI 제조사들이 의존도가 높은 오픈소스 인프라에 대한 일종의 '피드백'일 뿐만 아니라, AI가 전례 없는 자동화된 테스트 및 발굴 기능을 가져온 이후 홍수처럼 쏟아지는 경보와 보안 압박으로 전체 오픈소스 생태계가 불균형해지는 것을 방지하려는 시도이다.