Georgia Tech SSLab이 AI 코드 생성 도구 추적으로 74개의 CVE를 확인, Claude Code가 기여한 49개(11개 critical 포함) 발견

Context

AI 코드 생성 도구(Claude Code, GitHub Copilot 등)의 급속한 채택으로 공개 저장소의 코드 커밋이 증가하고 있다. Georgia Tech SSLab은 2025년 5월부터 2026년 3월까지 43,849개의 보안 공지사항을 분석해 AI 생성 코드의 취약점 현황을 추적했다. 개발자들이 AI 도구를 자동완성 수준에서 전체 프로젝트 생성(vibe coding)으로 사용 방식을 전환하면서 위험 프로필이 변화했다.

Technical Solution

• CVE 추적 시스템 구축: 2025년 5월~2026년 3월 기간 동안 AI 도구별 취약점 기여도 측정 및 분류
• AI 코드 생성 도구 종류별 분석: Claude Code, GitHub Copilot, Devin, Google Jules, Cursor, Aether, Atlassian Rovo, Roo Code의 8가지 도구 모니터링
• 취약점 심각도 분류: CVE 심각도별 집계로 Claude Code는 49개(critical 11개), GitHub Copilot은 15개(critical 2개) 등으로 구분
• AI 신호 탐지 한계 인식: 74개는 명확한 AI 관련 증거가 있는 경우만 확정하고, 실제 규모는 5~10배 높을 수 있음을 제시
• 코드 생성 방식 변화 추적: 자동완성에서 전체 프로젝트 생성으로의 사용 패턴 변화 문서화

Impact

• Claude Code: 2025년 8월 2개 CVE → 2026년 3월 49개 CVE(시간 경과에 따라 증가)
• 공개 커밋 점유율: Claude Code가 GitHub의 4% 이상을 차지(over 15 million total commits)
• 90일 기준 코드 추가: Claude Code가 공개 저장소에 30.7 billion 라인 추가
• 보안 검증율: Georgetown 대학 연구에 따르면 5개 모델의 생성 코드 중 약 48%는 컴파일 가능하지만 버그 포함(ESBMC 검증 기준), 약 30%만 보안 검증 통과

Key Takeaway

AI 코드 생성 도구의 낮은 CVE 비율(74/43,849)이 코드 품질 우수성을 의미하지 않으며, 오히려 탐지 한계와 개발자의 코드 검토 부족으로 인한 것으로 해석해야 한다. AI 생성 코드의 보안 검증 체계와 코드 리뷰 프로세스 강화가 필수적이다.