Software-Supply-Chain on jyukki's Bloghttps://jyukki.com/tags/software-supply-chain/Recent content in Software-Supply-Chain on jyukki's BlogHugo -- 0.147.0ko-krWed, 20 May 2026 20:30:00 +09002026-05-20 개발 뉴스 시니어 인사이트: 에이전트형 웹, 로컬 AI, 개발자 워크스테이션 보안, AI 프로세스 병목, 그리고 패치 운영https://jyukki.com/posts/2026-05-20-dev-news-senior-insights/Wed, 20 May 2026 20:30:00 +0900https://jyukki.com/posts/2026-05-20-dev-news-senior-insights/Google I/O, Hacker News, GeekNews, Reddit 및 보안 공지에서 최근 24시간 개발 이슈를 병합해 실무 영향과 도입 기준을 정리합니다.오늘의 개발 뉴스는 한 문장으로 요약하면 AI 에이전트가 개발 환경과 제품 표면으로 들어오면서, 속도보다 경계 설계가 더 중요해졌다는 흐름이다. Google은 웹과 Android 개발을 에이전트 친화적으로 재정의했고, GeekNews는 로컬 AI를 비용·프라이버시·장애 격리 관점에서 다시 보게 만들었다. 동시에 GitHub 내부 저장소 유출, 개발자 워크스테이션 공급망 논의, Drupal·PostgreSQL 보안 공지는 “개발자 도구는 생산성 도구이면서 공격면”이라는 사실을 다시 확인시켰다.

아래 5개 이슈는 Hacker News, GeekNews, Reddit, Google 개발자 블로그, 보안 매체와 공식 릴리스 노트를 묶어 정리했다. 얕은 신기술 소개보다, 팀이 내일 어떤 기준으로 도입·보류·실험을 판단해야 하는지에 초점을 맞췄다.

1. Google I/O 2026: 웹과 Android가 “에이전트가 조작 가능한 플랫폼”으로 이동한다

사실 요약

Google I/O 2026 개발자 키노트는 Gemini 3.5, Antigravity 2.0, Antigravity CLI/SDK, Managed Agents, Android CLI & Skills, WebMCP, Chrome DevTools for agents를 전면에 내세웠다. Chrome 팀은 WebMCP를 통해 웹사이트가 JavaScript 함수나 HTML form 같은 구조화된 도구를 브라우저 기반 에이전트에 노출할 수 있다고 설명했다. DevTools for agents는 콘솔, 네트워크, 접근성 트리 같은 디버깅 정보를 에이전트가 직접 활용하도록 여는 방향이다.

왜 중요한지: 실무 영향

이건 “AI 코딩 도구가 하나 더 나왔다”가 아니라 웹 플랫폼의 사용 방식이 바뀌는 신호다. 지금까지 웹 자동화는 사람이 보는 UI를 에이전트가 흉내 내는 방식이었다. WebMCP류 접근은 사이트가 에이전트용 조작면을 명시적으로 제공하는 쪽에 가깝다. 즉, 제품팀은 이제 사용자 UI, 공개 API, 관리자 API에 더해 에이전트 조작 계약을 설계해야 한다. 관련해서 이전 글 MCP Apps와 conversation-native UI에서 다룬 것처럼, 도구 표면이 대화·브라우저·IDE 안으로 들어오면 권한과 감사 로그가 더 중요해진다.

시니어 코멘트

도입 기준은 “에이전트가 클릭을 잘하나”가 아니라 “에이전트가 호출해도 안전한 동작만 노출했나”다. WebMCP나 유사 도구를 붙일 때는 read-only 액션, dry-run, idempotency, rate limit, audit field부터 확인하라. 결제, 권한 변경, 데이터 삭제, 외부 전송은 사람 승인 없이 구조화 도구로 열면 안 된다. 반대로 검색, 요약, 상태 조회, 초안 생성처럼 실패 비용이 낮고 관측 가능한 작업은 빨리 실험할 가치가 있다. Policy Exception Ledger처럼 예외 승인과 만료 조건을 기록하는 운영 장치도 같이 필요하다.

2. GeekNews의 로컬 AI 흐름: 클라우드 모델만 쓰는 제품은 비용·장애·개인정보 리스크를 떠안는다

사실 요약

GeekNews Weekly는 최근 개발 환경에서 Claude Code, Codex, Cursor 같은 AI 도구가 일상화됐고, 동시에 로컬 AI가 다시 실용 영역으로 들어오고 있다고 정리했다. DwarfStar 4(ds4), Rapid-MLX, Apple Foundation Models, Qwen·DeepSeek 계열 로컬 모델 사례가 소개됐다. 핵심 주장은 요약, 분류, 추출, 재작성, 정규화 같은 많은 앱 기능은 반드시 클라우드 프런티어 모델이 필요하지 않다는 것이다.

왜 중요한지: 실무 영향

클라우드 AI를 기능에 붙이는 순간 그 기능은 모델 API, 네트워크, 인증, 토큰 비용, 데이터 보존 정책에 의존하는 분산 시스템이 된다. 반면 로컬 AI로 처리할 수 있는 기능은 장애 범위가 작고, 민감 데이터 외부 반출 리스크도 줄어든다. 개발팀 입장에서는 “최고 모델을 쓸까 말까”가 아니라 작업을 민감도와 복잡도에 따라 나누는 하이브리드 아키텍처가 필요하다. 이 흐름은 Managed Browser Worker처럼 브라우저·로컬 런타임이 자동화 작업의 실행 경계가 되는 흐름과도 맞닿아 있다.

시니어 코멘트

로컬 AI는 모든 문제의 답이 아니다. 복잡한 설계 판단, 긴 맥락의 아키텍처 리뷰, 애매한 요구사항 정리는 여전히 상위 클라우드 모델이 유리하다. 하지만 개인정보가 섞인 텍스트 분류, 고객 상담 요약 초안, IDE 내부 코드 검색 보조, 앱 내 자연어 필터 변환은 로컬 우선 후보로 볼 만하다. 실행 팁은 간단하다. 기능 요구사항을 “정확도 민감”, “개인정보 민감”, “비용 민감”, “지연 시간 민감” 네 축으로 나누고, 로컬 모델로 충분한 구간을 먼저 분리하라. 실패하면 클라우드 fallback을 두되, fallback이 언제 발생했는지 로그로 남겨야 비용과 품질을 관리할 수 있다.

3. 개발자 워크스테이션과 코딩 어시스턴트: 공급망의 시작점이 Git 이전으로 당겨졌다

사실 요약

BleepingComputer는 GitHub가 악성 VS Code 확장으로 인해 약 3,800개 내부 저장소가 유출됐다고 확인했다고 보도했다. The Hacker News는 최근 npm, PyPI, Docker Hub 캠페인이 개발자 환경과 CI/CD의 API 키, 클라우드 자격 증명, SSH 키, 토큰을 노렸다고 정리했다. Cyberhaven은 기업 내 endpoint AI native app 사용이 1년 사이 509% 늘었고, 코딩 어시스턴트는 357% 성장해 가장 빠르게 커지는 고위험 카테고리라고 분석했다.

왜 중요한지: 실무 영향

개발자 노트북은 더 이상 일반 endpoint가 아니다. 저장소, .env, shell history, SSH 키, package manager credential, cloud profile, 브라우저 세션, AI 에이전트 설정이 한곳에 모여 있다. 공격자는 코드를 훔치는 것보다 코드를 바꿀 수 있는 권한을 훔치는 쪽이 더 큰 이득이다. AI 코딩 도구는 여기에 파일 읽기, 명령 실행, 로그 복사, prompt/memory 저장이라는 새 경로를 추가한다. 이미 Agent Sandbox Egress Policy에서 말했듯, 에이전트의 외부 통신과 파일 접근은 개발 편의가 아니라 공급망 통제 항목이다.

시니어 코멘트

오늘 기준으로 팀의 최소선은 세 가지다. 첫째, IDE 확장과 AI 코딩 도구를 “개인 취향”이 아니라 승인·재검토 대상 자산으로 관리하라. 둘째, developer workstation에서 쓰는 토큰은 scope와 TTL을 줄이고, repository admin·package publish·cloud mutation 권한은 분리하라. 셋째, .vscode/tasks.json, 에이전트 hook, MCP 서버 설정, local memory 파일을 보안 스캔 범위에 넣어라. 생산성을 막자는 얘기가 아니다. 개발자 PC가 뚫렸을 때 곧바로 CI, registry, cloud로 이어지지 않게 blast radius를 잘라야 한다.

4. Hacker News와 Reddit의 AI 개발 논쟁: 병목은 코드 생성보다 정렬·검증·조정이다

사실 요약

Hacker News에서는 “AI가 프로세스를 더 빠르게 만들 것 같지 않다”는 주제로, 상세한 요구사항을 얻는 것 자체가 소프트웨어 엔지니어링의 어려움이라는 논의가 이어졌다. 댓글들은 AI가 기능 아이디어 반복은 빠르게 만들지만, 실제 병목은 팀 간 alignment와 coordination으로 옮겨간다고 지적했다. Reddit 개발자 커뮤니티에서도 heavy user들이 Copilot, Cursor, Claude Code, Gemini, opencode류 도구를 조합해 쓰면서 비용, 제한, 장시간 세션 안정성, agentic workflow를 비교하는 흐름이 보인다.

왜 중요한지: 실무 영향

AI는 코드 초안 생산 비용을 낮춘다. 하지만 요구사항이 불명확하거나, 권한 경계가 모호하거나, 검증 환경이 약하면 더 빠르게 잘못된 변경을 만든다. 특히 여러 에이전트나 여러 도구를 섞는 팀은 산출물보다 상태 관리가 먼저 문제 된다. 누가 어떤 가정으로 어떤 파일을 바꿨는지, 어떤 테스트를 통과했고 어떤 리스크를 남겼는지 추적하지 못하면 속도는 곧 리뷰 부채가 된다. Agent Artifact Registry에서 다룬 산출물 기록 체계가 필요한 이유다.

시니어 코멘트

AI 도입의 성공 지표를 “개발자가 몇 시간을 아꼈다” 하나로 두면 실패한다. 더 좋은 지표는 cycle time, rework rate, review latency, incident-linked change ratio, test coverage delta다. 실행 팁은 PR 템플릿을 바꾸는 것이다. AI 사용 범위, 사람이 확인한 가정, 실행한 테스트, 남은 리스크, 롤백 방법을 필수 항목으로 넣어라. AI가 만든 코드를 금지할 필요는 없다. 대신 AI가 만든 불명확한 결정을 금지해야 한다.

5. Drupal 긴급 공지와 PostgreSQL 보안 릴리스: 패치 운영은 “공지 확인”이 아니라 사전 슬롯 확보가 핵심이다

사실 요약

Drupal Security Team은 5월 20일 17:00~21:00 UTC 사이 모든 지원 브랜치에 core security release가 있을 예정이며, exploit이 몇 시간 또는 며칠 안에 나올 수 있으니 업데이트 시간을 예약하라고 공지했다. PostgreSQL은 18.4, 17.10, 16.14, 15.18, 14.23 릴리스로 11개 보안 취약점과 60개 이상 버그를 수정했다. PostgreSQL 14는 2026년 11월 12일 EOL 예정이라는 점도 함께 공지됐다.

왜 중요한지: 실무 영향

보안 패치는 “나중에 시간 날 때” 처리하는 업무가 아니다. 특히 CMS, 데이터베이스, 인증 주변 컴포넌트는 exploit 공개 이후 공격 자동화가 빠르다. Drupal 공지처럼 정확한 release window가 제시되는 경우, 운영팀은 그 시간에 영향도 판단, staging 검증, backup 확인, 배포 승인, rollback 준비를 끝내야 한다. PostgreSQL처럼 다수 CVE와 EOL 안내가 같이 나오는 경우에는 단순 minor update가 아니라 버전 수명 전략까지 같이 봐야 한다.

시니어 코멘트

패치 운영의 기준은 “최신 버전인가”보다 “취약점 공지 후 몇 시간 안에 안전하게 올릴 수 있는가”다. CMS와 DB는 자산 목록, 버전, owner, backup freshness, staging parity, rollback path가 없으면 빠른 패치가 불가능하다. 오늘 할 일은 Drupal·PostgreSQL을 쓰는 서비스 목록을 뽑고, 지원 브랜치 여부와 EOL 일정을 확인하는 것이다. 패치 자동화도 좋지만, DB는 확장, replication, backup tool, client library 호환성까지 확인해야 한다. 속도와 안정성의 균형은 사전에 만든 runbook에서 나온다.

오늘의 실행 체크리스트

  1. 에이전트 조작면을 분류한다. read-only, dry-run 가능 mutation, 승인 필요한 mutation, 금지 mutation을 API·WebMCP·MCP 단위로 나눈다.
  2. 로컬 AI 후보 기능을 고른다. 요약, 분류, 추출, 재작성처럼 개인정보·비용 민감도가 높은 저위험 작업부터 PoC를 잡는다.
  3. 개발자 워크스테이션을 공급망 자산으로 등록한다. IDE 확장, AI 도구 설정, 로컬 토큰, package manager credential, 에이전트 hook을 점검 범위에 넣는다.
  4. AI PR 템플릿을 강화한다. AI 사용 범위, 검증한 가정, 실행 테스트, 남은 리스크, 롤백 방법을 필수로 둔다.
  5. 보안 패치 runbook을 업데이트한다. Drupal·PostgreSQL 사용처, owner, staging 검증 절차, 백업 freshness, EOL 일정을 오늘 기준으로 확인한다.

출처 링크

]]>2026-05-19 개발 뉴스 시니어 인사이트: AI 코딩 에이전트의 품질 장벽, npm 공급망 웜, API 연결성, AI 검색, 그리고 협업 규칙https://jyukki.com/posts/2026-05-19-dev-news-senior-insights/Tue, 19 May 2026 20:30:00 +0900https://jyukki.com/posts/2026-05-19-dev-news-senior-insights/Hacker News, GeekNews, Reddit에서 오늘 주목받은 개발 이슈를 시니어 개발자 관점으로 병합해 실무 영향과 도입 기준을 정리합니다.오늘의 흐름은 꽤 선명하다. AI 코딩 도구는 “재미있는 보조 도구”에서 “일상 업무에 넣을 수 있는 작업자” 쪽으로 빠르게 이동하고 있고, 그만큼 공급망·리뷰·컨텍스트·검색 노출 같은 주변 운영 체계가 같이 흔들리고 있다. 단일 모델 성능만 보는 시기는 끝났다. 이제 팀이 봐야 할 것은 모델, 도구, API, CI, 문서, 검색, 리뷰 큐가 이어지는 전체 작업면이다.

아래 5개 이슈는 Hacker News, GeekNews, Reddit에서 오늘/최근 24시간 안에 반복적으로 보인 신호를 병합했다. 특히 AI 에이전트 관련 뉴스가 많지만, 핵심은 “AI를 더 쓰자”가 아니다. AI가 만드는 속도를 운영 가능한 품질로 바꾸는 장치가 있는가다.

1. LLM 6개월 요약: 코딩 에이전트가 “가끔 됨”에서 “대부분 됨”으로 넘어왔다

사실 요약

Simon Willison은 PyCon US 2026 라이트닝 토크 자료에서 최근 6개월의 LLM 흐름을 두 가지로 요약했다. 첫째, 최고 모델 자리는 Claude, GPT, Gemini 사이에서 빠르게 바뀌었고, 둘째, 진짜 변화는 코딩 에이전트가 실무 데일리 드라이버로 쓸 만큼 좋아졌다는 점이다. 그는 2025년 11월을 코딩 에이전트 품질의 변곡점으로 보며, RLVR와 Codex·Claude Code 같은 에이전트 하네스 결합이 체감 품질을 끌어올렸다고 정리했다.

왜 중요한지: 실무 영향

이 변화는 개발팀의 병목을 “코드 작성”에서 “작업 정의, 검증, 병합, 운영 책임”으로 옮긴다. 예전에는 AI가 낸 코드를 고치는 시간이 커서 실험 비용이 높았다. 이제는 충분히 그럴듯한 PR이 빠르게 쌓이기 때문에, 잘못 운영하면 리뷰 큐와 테스트 인프라가 먼저 터진다. 이미 이 블로그에서 다룬 AI PR Review Backlog OS의 문제가 더 빨리 현실화되는 셈이다.

시니어 코멘트

도입 기준은 “우리 팀에서 AI가 몇 줄을 잘 쓰는가”가 아니라 “AI가 만든 변경을 사람이 설명·검증·롤백할 수 있는가”다. 작은 버그 수정, 테스트 보강, 리팩터링 후보 탐색처럼 실패 비용이 낮고 검증 루프가 짧은 곳부터 넣어라. 반대로 인증, 결제, 권한, 데이터 삭제, 마이그레이션은 승인 게이트와 실행 로그 없이 맡기면 안 된다. 코딩 에이전트가 좋아질수록 시니어의 일은 프롬프트 작성이 아니라 작업 경계와 검증 계약을 설계하는 것에 가까워진다.

2. Cursor Composer 2.5: 모델 경쟁은 벤치마크보다 장기 작업 행동 품질로 이동 중

사실 요약

Cursor는 Composer 2.5를 공개하며 장기 작업 수행, 복잡한 지시 준수, 협업 감각이 개선됐다고 설명했다. 기술적으로는 더 어려운 RL 환경, 25배 많은 합성 작업, 텍스트 피드백 기반의 국소 행동 교정이 핵심이다. 흥미로운 대목은 “벤치마크로 잘 잡히지 않는 커뮤니케이션 스타일과 effort calibration이 실제 유용성에 중요하다”고 명시한 점이다.

왜 중요한지: 실무 영향

개발 도구 모델의 경쟁축이 단순 정답률에서 “오래 일할 때 덜 망가지는가”로 바뀌고 있다. 실제 프로젝트에서 중요한 것은 첫 답변의 화려함보다, 30분 뒤에도 요구사항을 잊지 않고, 도구 오류를 회복하며, 불확실한 지점을 보고하는 능력이다. Composer 2.5의 설명은 AI 코딩 도구가 IDE 기능이 아니라 작업 런타임으로 진화하고 있음을 보여준다. 이는 Agent Workspace Lease BrokerAgent Artifact Registry 같은 운영 레이어가 왜 필요한지도 설명한다.

시니어 코멘트

팀에서 Cursor류 도구를 평가할 때는 “한 번 시켜봤더니 잘했다”가 아니라 장기 작업 평가표를 만들어야 한다. 최소한 ① 요구사항 추적, ② 테스트 실패 회복, ③ 불필요한 파일 수정 여부, ④ 리뷰 가능한 커밋 단위, ⑤ 보안·권한 관련 자기제한을 봐라. 특히 합성 작업과 RL로 훈련된 모델은 보상 해킹 성향도 같이 커질 수 있다. 도구가 더 똑똑해질수록 “왜 이 선택을 했는지”를 산출물에 남기게 만드는 규칙이 필요하다.

3. Anthropic의 Stainless 인수: 에이전트 시대의 승부처는 API 연결성이다

사실 요약

Anthropic은 SDK와 MCP 서버 툴링을 제공하는 Stainless를 인수했다. Stainless는 TypeScript, Python, Go, Java, Kotlin 등 여러 언어 SDK와 CLI, MCP 서버 생성을 지원해 왔고, Anthropic의 공식 SDK 생성에도 관여했다. Anthropic은 “에이전트는 연결할 수 있는 시스템만큼 유용하다”고 설명했다.

왜 중요한지: 실무 영향

AI 에이전트가 실제 업무를 하려면 사내 시스템, SaaS, 데이터베이스, 배포 파이프라인과 안전하게 연결되어야 한다. 여기서 SDK 품질과 API 스펙은 단순 개발자 경험 문제가 아니라 권한 경계, 감사 가능성, 장애 복구의 문제다. MCP 서버가 늘어날수록 “연결만 되면 된다”는 접근은 위험해진다. 잘못 만든 커넥터는 에이전트에게 과도한 권한을 주거나, 실패 시 어떤 시스템을 건드렸는지 추적하기 어렵게 만든다. 관련해서 이전 글 MCP Apps와 conversation-native UI에서 말한 것처럼, 도구 표면은 점점 대화 안으로 들어오지만 책임은 여전히 운영 시스템에 남는다.

시니어 코멘트

API를 에이전트에 열 때는 SDK 자동 생성보다 먼저 “계약”을 점검해야 한다. 스펙에 idempotency, pagination, rate limit, 권한 scope, dry-run, audit field가 없다면 에이전트 연결은 아직 이르다. 사내 API라면 MCP 서버를 만들기 전에 읽기 전용 모드, 샌드박스 토큰, 요청 예산, 승인 필요한 mutation 목록을 분리하라. Anthropic의 인수는 시장 신호다. 앞으로 좋은 API는 사람 개발자뿐 아니라 에이전트가 안전하게 호출할 수 있는 API가 된다.

4. Mini Shai-Hulud 재발: npm 공급망 공격은 AI 에이전트 환경까지 노린다

사실 요약

SafeDep 분석에 따르면 2026년 5월 19일 npm 계정 atool이 침해되어 수백 개 패키지에 악성 버전이 짧은 시간 안에 배포됐다. size-sensor, echarts-for-react, @antv 계열, timeago.js 등 다운로드가 많은 패키지도 영향을 받았다. 악성 payload는 preinstall hook, optional dependency, GitHub 오브젝트 공유, CI OIDC, Sigstore, Docker socket, GitHub Actions workflow, VS Code task, Claude Code·Codex hook까지 노렸다.

왜 중요한지: 실무 영향

이 공격은 단순히 “npm install 조심” 수준이 아니다. 현대 개발 환경의 신뢰 경로 전체를 공격한다. semver range가 최신 악성 버전을 자동 선택하고, CI 토큰은 publish 권한으로 바뀌며, AI 에이전트 hook은 로컬·원격 세션 재감염 경로가 된다. 공급망 사고와 AI 도구 보안이 분리된 문제가 아니라는 뜻이다. 이미 다룬 Dependency Update PipelinePackage Release Quarantine Gate가 선택 사항이 아니라 기본 운영 항목으로 올라왔다.

시니어 코멘트

오늘 당장 할 일은 세 가지다. 첫째, lockfile 없는 clean install을 금지하고, 새로 publish된 버전에 대한 cooldown 정책을 둬라. 둘째, CI의 OIDC·npm publish 권한을 최소화하고, install script 실행을 별도 격리 단계로 분리하라. 셋째, AI 도구 설정 디렉터리와 VS Code task를 보안 스캔 범위에 넣어라. 특히 .claude, .vscode/tasks.json, GitHub Actions workflow는 이제 개발 편의 설정이 아니라 실행 권한을 가진 공격면이다. “개발자 PC라 괜찮다”는 말은 더 이상 통하지 않는다.

5. AI 콘텐츠·AI PR 논쟁: 커뮤니티와 팀 모두 “품질 신호”를 다시 정의해야 한다

사실 요약

Reddit r/programming은 AI 관련 프로그래밍 콘텐츠 금지 실험 이후, 어떤 AI 글을 허용할지 피드백을 받고 있다. 핵심 구분은 LLM이 생성한 저품질 글이나 철학적 논쟁이 아니라, 실제 프로그래밍 지식으로 볼 수 있는 AI 관련 글을 어떻게 다룰 것인가다. r/webdev에서도 AI가 만든 PR이 테스트와 lint는 통과하지만 캐시 키, 인증 순서, fallback 책임 같은 설계 이유를 설명하지 못한다는 문제 제기가 나왔다. GeekNews에서는 AI와 함께 일할 때 컨텍스트, 취향 설정, 검증 자동화, 위임, 피드백 루프를 축적해야 한다는 글도 주목받았다.

왜 중요한지: 실무 영향

커뮤니티의 콘텐츠 품질 문제와 팀의 PR 품질 문제는 같은 구조다. 생성 비용이 내려가면 표면상 완성된 산출물이 늘어난다. 그러면 기존 신호, 예를 들어 “글이 길다”, “테스트가 돈다”, “데모가 된다”만으로는 품질을 판별하기 어렵다. 이제 중요한 신호는 출처, 재현성, 의사결정 기록, 실패 케이스, 운영 책임자다. AI 검색 시대에는 Google도 생성형 검색 최적화 가이드에서 재탕 요약보다 독자적 경험과 비상품성 콘텐츠를 강조한다. 이는 기술 블로그에도 그대로 적용된다. LLM-readable Docs Surface에서 말했듯 문서는 사람이 읽는 글이면서 동시에 에이전트와 검색 시스템이 해석하는 운영 인터페이스가 된다.

시니어 코멘트

팀 규칙을 이렇게 바꾸는 것을 권한다. AI 사용 여부 자체를 문제 삼기보다, 산출물에 “설명 가능한 결정”을 요구하라. PR 템플릿에 대안, 리스크, 롤백, 관측 지표, AI 사용 범위를 넣고, 리뷰어는 happy path보다 failure path를 먼저 본다. 콘텐츠도 마찬가지다. 단순 요약 글은 검색과 AI 답변에 흡수된다. 살아남는 글은 현장 경험, 판단 기준, 실패 비용, 실행 체크리스트가 있는 글이다. AI 시대의 품질은 더 많은 산출물이 아니라 더 선명한 책임 경계에서 나온다.

오늘의 실행 체크리스트

  1. AI 코딩 도구 평가표를 만든다. 단발 데모가 아니라 장기 작업 유지력, 오류 회복, 설명 가능성, 파일 변경 범위, 테스트 근거를 본다.
  2. npm 신규 버전 cooldown을 적용한다. 최소 24~72시간 격리, lockfile 강제, install script 차단 또는 샌드박스 실행을 검토한다.
  3. AI 도구 설정 디렉터리를 보안 스캔에 포함한다. .claude, Codex hook, .vscode/tasks.json, GitHub Actions workflow 변경을 리뷰 필수 대상으로 둔다.
  4. 에이전트용 API 계약을 점검한다. read-only 토큰, dry-run, idempotency, audit log, rate limit, mutation 승인 경계를 명시한다.
  5. PR과 블로그 모두 결정 기록을 남긴다. 무엇을 했는지보다 왜 했는지, 무엇을 하지 않았는지, 실패하면 어떻게 되돌릴지를 적는다.

출처 링크

]]>