AI 코드, AI 수정: 자동화가 AI가 만든 것을 보호할 수 있을까?

귀하의 Vibe 코딩 프로젝트는 취약점으로 가득 차 있습니다!

AI를 활용한 소프트웨어 개발은 공상과학 소설에서 현실로 자리 잡았습니다. AI로 코딩된 프로젝트는 해커가 취약점을 발견하기 전까지는 완벽하게 작동할 수 있습니다. 이 글에서는 Bolt.new 바이브 코딩 플랫폼으로 만든 실제 프로젝트에서 Scribe의 AI 에이전트 분석 및 자동 수정 워크플로를 테스트하기 위해 수행한 실험을 통해, 발견 사항과 취약점으로 가득한 AI 생성 코드를 신뢰할 수 있는 제품으로 만드는 과정을 살펴보겠습니다.

프로젝트 생성

과제는 간단했습니다.
실시간으로 하드웨어 GPIO 라인을 모니터링하고 동적으로 업데이트되는 웹 페이지에 상태를 표시하는 웹 애플리케이션을 구축합니다.

Bolt.new는 단 한 번의 프롬프트로 전체 프로젝트를 생성했습니다. 즉, WebSocket 서버, React.js 프런트엔드, 심지어 GitHub용 README.md 파일까지 포함된 Node.js 프로젝트입니다.

생성 과정은 단 22.04분 걸렸고, 로컬 Linux 환경(WSL의 Ubuntu XNUMX)에 코드를 다운로드하고 설치하고 실행할 수 있었습니다. 

놀랍게도 바로 작동했습니다. 실행 중인 앱 스크린샷은 다음과 같습니다.

첫인상

배포 후 프로젝트 구조를 면밀히 살펴보았습니다. 앱에는 소스 코드 파일 20개와 구성 파일 15개가 있었습니다. 종속성을 포함한 전체 설치에는 10,000개가 넘는 파일이 필요했습니다. 이는 중요한 질문을 제기했습니다. AI가 생성한 이 코드는 얼마나 안전하고 신뢰할 수 있을까요?

1단계: 기존 계측

첫 번째 단계는 Scribe의 클래식 계측 도구를 실행하여 빌드 프로세스에서 보안 증명을 수집하는 것이었습니다. 이를 통해 다음과 같은 결과를 얻었습니다.
– 상세 SBOM(소프트웨어 자재 목록)
– 취약성 보고서(직접 및 전이적 종속성)
– SAST(정적 분석) 결과
– 비밀 스캐닝 결과

취약점 보고서

• 4 치명적인 취약점
• 6가지 심각한 취약점

SAST 결과

•  3개의 심각한 결과
• 12개의 중간 심각도 소견

2단계: Scribe AI를 통한 자동 수정

다음으로, 우리는 프로젝트를 GitHub에 업로드하고 사용했습니다. 레무스Scribe의 AI 자동 수정 에이전트 워크플로. 레무스, 사실로, 네트워크 사 AI 에이전트는 자율적이고 협력적으로 작동하도록 설계되었습니다. 각 에이전트는 특화된 기능을 갖추고 있어 복잡한 문제 해결에 분산된 접근 방식을 제공합니다. 이러한 아키텍처를 통해 데이터 분석 및 패턴 인식부터 의사 결정 및 예측 모델링에 이르기까지 광범위한 작업을 처리할 수 있습니다.
달리는 레무스 이전에 식별된 취약점과 SAST 문제에 대한 타겟 수정 사항을 담은 풀 리퀘스트가 생성되었습니다.

다음은 자동으로 제안된 커밋의 예입니다. 레무스 취약점을 수정하려면: 

PR을 병합한 후, 프로젝트를 다시 빌드하고 이전과 같이 작동하는지 검증했으며, 문제가 있는지 프로젝트를 다시 검사했습니다.

결과 후 레무스 개선

변신이 극적이었습니다!
- 취약점 검사: 중간 심각도 문제가 1개만 남았습니다.

- SAST 결과: 중간 심각도 항목 하나를 제외하고 모두 고정됨

Scribe의 AI 에이전트 수정 워크플로는 심각도가 높은 중대한 문제를 효과적으로 해결하여, 제품 기능을 방해하지 않으면서 수동 개입이 필요한 사소한 문제만 남겼습니다.

주요 요점

이 실험은 다음을 보여주었습니다.

1. AI가 생성한 코드는 처음에는 완벽하게 작동하는 것처럼 보일 수 있지만, 기본적으로 제공되는 기능은 심각한 보안 위험과 신뢰 문제를 야기합니다. 이러한 코드를 사용하는 프로젝트는 위협 행위자로부터 큰 위험에 직면하게 됩니다.
2. 파이프라인의 보안 계측은 필수적입니다. Scribe의 GitHub 플러그인은 생성된 프로젝트에서 여러 가지 심각한 취약점을 발견했습니다.
3. Scribe AI 기반 자동 수정 에이전트 워크플로는 강력합니다. 자동화된 수정을 통해 프로젝트의 위험 프로필을 획기적으로 줄이는 동시에 프로젝트를 완벽하게 작동 상태로 유지할 수 있습니다.

최종 생각

AI 기반 프로젝트와 AI 기반 복구의 결합은 소프트웨어가 그 어느 때보다 빠르게 개발되고 보안이 강화되는 미래를 제시합니다. 인간의 감독은 여전히 중요하지만, 다음과 같은 도구는 스크라이브허브 AI 에이전트 AppSec 워크플로를 통해 자동화된 코드 복구가 가능할 뿐만 아니라 실용적이라는 점이 입증되었습니다.

관련 게시물

지도 없이 전투에 나갈 수 있나요?

소프트웨어 공급망 보안은 '소프트웨어 팩토리'의 발견 및 거버넌스에서 시작됩니다. 오늘날의 소프트웨어 개발 환경에서 팀은 코드 저장소, 빌드 파이프라인, 컨테이너 이미지와 같은 분산된 자산을 처리합니다. 이 분산 모델은 유연성을 제공하고 생산 속도를 높이지만, 특히 […]

소프트웨어 자재 목록을 통한 취약점 식별: 보안, 투명성 및 규정 준수 보장

소프트웨어 공급망의 복잡성이 증가함에 따라 소프트웨어 구성 요소를 관리하고 보호하는 것이 더욱 어려워졌습니다. 이를 해결하기 위해 소프트웨어 자재 목록(SBOM)이 소프트웨어 개발 라이프사이클에서 보안, 투명성 및 규정 준수를 보장하는 중요한 도구로 등장했습니다. SBOM은 […]를 만드는 데 사용된 모든 구성 요소에 대한 포괄적인 기록입니다.

ASPM이란 무엇입니까?®

애플리케이션의 복잡성이 증가하고 보안 위협이 확산됨에 따라 소프트웨어 애플리케이션의 보안을 보장하는 것이 조직에 중요한 과제가 되었습니다. ASPM(애플리케이션 보안 상태 관리)은 이러한 문제에 대한 솔루션으로 등장하여 가시성 향상, 취약성 관리, 소프트웨어 개발 수명주기 전반에 걸쳐 보안 제어 강화를 위한 프레임워크를 제공합니다. […]