전체 논문파일럿 · MIT

The Vibe Tax: 바이브코딩의 보안 위험은 어디로 이동했나

저자
Han Kim
논문
IOV Labs · 오픈 연구 · 4pp · 2026-07-17

초록

AI 보조 코딩(바이브코딩)은 폭증했고 개발자는 더 빠르다고 느끼지만, 그 코드의 보안은 별개다. 우리는 파이썬 보안민감 작업 10개를 프롬프트만 바꿔(빠르게 vs 안전하게) 두 모델(Claude Haiku 4.5, GPT-4o-mini)에 생성시키고, 작업별 취약점 오라클로 실제 취약 여부를, 범용 스캐너 bandit으로 탐지 여부를, 모델 자기평가로 인지 여부를 동시에 측정했다(파일럿 n=40). 셋을 발견한다. 첫째, 바이브 세금: 빠르게만 요청하면 취약률이 20%에서 50%로 오르며 두 모델 모두 벤더 무관하게 나타난다(Claude 10→40, GPT 30→60). 둘째, 위험의 이동: 모델은 유명 취약점(SQL 주입·커맨드 주입·약한 해시)엔 이제 기본 안전하고, 실패는 신뢰·검증·출력(JWT 서명 스킵·역직렬화·XSS·SSRF·경로순회)으로 몰린다. 셋째, 스캐너의 실명: 오라클이 실취약으로 판정한 35% 가운데 bandit은 0%를 탐지했다, 도구가 AI 취약점 다수를 놓친다는 업계 발견과 정합한다. 자기평가는 부분적으로 구분(취약 3.5/10, 안전 6.6)하지만 그 판단은 멈춰 물을 때만 켜지고 생성 중엔 발동하지 않는다. 함의는 바이브코딩의 위험이 대놓고 깨진 코드가 아니라 스캐너를 통과하고 빠른 개발자를 지나가는 조용한 신뢰 실패에 있으며, 대응은 더 조심하라는 호소가 아니라 시스템이라는 것이다.

키워드

PDF 내려받기