한 오픈소스 개발자가 자신이 만든 자바(Java) 테스트 엔진에 AI 코딩 에이전트의 기존 지시를 무시하고 테스트 코드를 전부 삭제하라는 '프롬프트 인젝션(Prompt Injection)' 공격 코드를 몰래 숨겨 넣어 논란이 일었다. 해당 코드는 사람의 눈에 띄지 않도록 터미널 화면에서 지워지는 기능까지 포함되어 있어 시스템에 치명적인 피해를 줄 수 있다는 비판을 받고 있다. 이 사건은 생성형 AI 도구의 무분별한 사용에 맞서는 '바이브 코딩(Vibe Coding)' 반발 운동이 개발자 윤리를 넘어선 위험한 수준으로 번지고 있음을 보여준다.
해커뉴스에 한 개발자가 AI로 얻은 답변을 그대로 복사해 붙여넣는 사람들과 AI 에이전트에 지쳤다는 글을 올렸습니다. 기술적 문의에 대해 검증 없이 ChatGPT 스크린샷만 전달하는 비즈니스 오너, 멀웨어 유포 의심 리포트에 AI 답변만 반복하는 사람들 등 AI 의존 현상이 심각해지는 양상을 지적합니다. 의사소통 과정에서 인간의 진정성과 주도성이 사라지는 현실에 대한 피로감을 담은 이 글이 공감을 얻고 있습니다.
2026년 5월 19일, npm 계정이 해킹당해 317개 패키지에 걸쳐 637개의 악의적인 버전이 단 22분 만에 자동으로 퍼블리싱되었습니다. 이 악성코드는 AWS 자격 증명, GitHub 토큰, SSH 키 등을 광범위하게 탈취할 뿐만 아니라, Claude Code 및 VS Code와 같은 AI 개발 도구를 하이재킹하여 지속적으로 감염을 유지하는 정교한 공격입니다. 특히 공개 GitHub 저장소를 C2(명령 및 제어) 채널로 위장하고 CI/CD 파이프라인에 침투하여 서명된 합법적인 아티팩트를 위조하므로 소프트웨어 공급망 전체에 심각한 위협을 줍니다.
머신러닝 시스템 모니터링에 쓰이는 오픈소스 CLI 도구(elementary-data)의 GitHub Actions 취약점을 통해 해커가 서명 키를 탈취해 악성 버전(0.23.3)을 배포했습니다. 해당 버전을 설치한 환경의 클라우드 키, SSH 키, API 토큰 등 모든 자격 증명이 유출되었을 가능성이 큽니다. 개발자들은 즉시 패키지 삭제 및 안전한 버전(0.23.4) 설치, 그리고 모든 민감 정보 및 키(key) 로테이션을 권고하고 있습니다.