사람이 검토해도 놓치는 코드 버그, AI는 절반 이상 잡아냈다 — 구글 오픈소스 Sashiko
구글 엔지니어가 만든 AI 코드 검토 도구 Sashiko가 리눅스 커널에서 사람 리뷰어가 놓친 버그 53.6%를 찾아냈습니다. 9단계 자동 검토, 오탐률 20% 미만. 오픈소스 무료 공개.
리눅스 커널은 안드로이드 스마트폰, 전 세계 서버의 90% 이상, 자동차 내비게이션, 스마트 냉장고까지 — 우리가 매일 쓰는 거의 모든 전자기기의 심장입니다. 이 코드에 버그가 하나 생기면 수십억 대 기기가 영향을 받습니다.
매일 수백 개의 코드 변경이 제출되고, 전 세계 수천 명의 개발자가 검토하지만 여전히 결함이 빠져나갑니다. 구글 엔지니어 Roman Gushchin과 Elkin Cruz가 이 문제를 AI로 풀기 위해 만든 것이 Sashiko입니다.
코드 한 줄을 9단계로 검증하는 AI
'사시코(Sashiko)'라는 이름은 일본의 전통 보강 바느질 기법에서 따왔습니다. 낡은 천을 촘촘하게 꿰매서 더 튼튼하게 만들듯, AI가 코드를 꼼꼼하게 검토해서 더 안전하게 만든다는 뜻입니다.
Sashiko는 LKML(리눅스 커널 메일링 리스트 — 개발자들이 코드 변경을 제안하는 공개 게시판)에 올라오는 모든 패치를 자동으로 읽고, 9단계 검토 프로토콜을 거쳐 결함을 찾아냅니다.
1 목적 분석 — 이 코드가 무엇을 하려는 건지, 설계상 결함은 없는지 확인
2 설명 vs 실제 코드 비교 — 개발자가 쓴 설명과 실제 코드가 일치하는지 검증
3 실행 흐름 검증 — 코드가 의도대로 작동하는지, 논리 오류는 없는지 추적
4 메모리 관리 — 메모리 누수(프로그램이 쓴 메모리를 반납하지 않는 문제) 탐지
5 동시 처리 검사 — 여러 작업이 동시에 실행될 때 충돌하지 않는지 확인
6 보안 감사 — 해킹에 악용될 수 있는 취약점 탐지
7 하드웨어 호환성 — 특정 기기 드라이버에서만 발생하는 문제 검토
8 종합 판정 — 심각도(치명적/높음/중간/낮음)를 매겨 결과 정리
9 리포트 생성 — 개발자에게 검토 결과를 이메일로 자동 전달
53.6% — 숫자가 증명하는 AI 코드 리뷰의 가치
Sashiko 개발팀은 최근 1,000개의 코드 변경 기록 중 버그 수정 태그("이 커밋은 이전 버그를 고친 것"이라는 표시)가 달린 것들을 역추적 분석했습니다.
결과는 놀라웠습니다.
✅ 오탐률: 20% 미만 — "이것도 버그"라고 잘못 보고하는 비율이 낮음
⚠️ 핵심 포인트: 탐지된 버그는 전부 사람 리뷰어가 이미 "문제없다"고 통과시킨 것이었습니다
즉, Sashiko는 사람이 아무리 꼼꼼하게 봐도 놓칠 수밖에 없는 결함 패턴 — 메모리 누수, 동시 처리 충돌, 특정 조건에서만 발생하는 보안 취약점 — 을 AI의 패턴 인식 능력으로 잡아내는 것입니다.
AI 모델은 구글의 Gemini 3.1 Pro를 기본으로 사용하며, Anthropic의 Claude도 지원합니다. Claude 사용 시 프롬프트 캐싱(이전 분석 결과를 재활용해서 비용을 줄이는 기능)과 100만 토큰 컨텍스트(한 번에 읽을 수 있는 코드 양이 매우 많음)를 활용할 수 있습니다.
개발자라면 — 직접 설치해서 써볼 수 있다
Sashiko는 Apache 2.0 라이선스로 완전히 무료 공개되어 있습니다. 리눅스 재단(Linux Foundation)에서 공식 운영하고, 구글이 AI 모델 사용에 필요한 비용과 서버 인프라를 전액 지원합니다.
# Rust 1.86 이상 필요
git clone --recursive https://github.com/sashiko-dev/sashiko.git
cd sashiko
cargo build --release
cargo run --release
# 환경 변수 설정 (Gemini 사용 시)
export LLM_API_KEY="your-gemini-api-key"
# Claude 사용 시
export ANTHROPIC_API_KEY="your-claude-api-key"설치 없이 바로 확인하고 싶다면, sashiko.dev에서 실제 리눅스 커널 리뷰 현황을 실시간으로 볼 수 있습니다. 각 패치의 리뷰 상태, 발견된 결함 수, 심각도가 대시보드에 표시됩니다.
주요 기술 사양
- 개발 언어: Rust (전체 코드의 85.6%)
- 라이선스: Apache 2.0 (상업적 사용 가능)
- 지원 AI 모델: Gemini 3.1 Pro, Claude (Anthropic)
- 동시 리뷰: 최대 20개 패치를 동시에 검토
- GitHub 스타: 81개 (2026년 1월 공개, 아직 초기 단계)
- 커밋 수: 751개 (활발하게 개발 중)
AI가 사람을 대체하는 게 아니라 지키는 도구
Sashiko 팀은 AI가 사람 리뷰어를 대체하는 것이 아니라 보완한다고 강조합니다. 사람이 놓치기 쉬운 패턴 — 메모리 누수, 동시 처리 충돌, 보안 취약점 — 을 AI가 잡아내고, 사람은 코드의 설계 철학이나 전체 구조 같은 더 높은 수준의 판단에 집중할 수 있습니다.
현재 Sashiko는 리눅스 커널 전용이지만, 코드가 오픈소스인 만큼 다른 대규모 프로젝트에도 적용할 수 있는 가능성이 열려 있습니다. 최근 AI가 만든 저품질 코드가 오픈소스를 병들게 한다는 경고가 이어지는 가운데, Sashiko처럼 AI가 오픈소스 품질을 지키는 방향으로 활용되는 사례가 주목받고 있습니다.
Sashiko의 접근법은 한 가지 중요한 질문을 던집니다. AI가 코드를 짜는 시대에, AI가 코드를 검토하는 일이야말로 더 가치 있는 역할이 아닐까요?
관련 콘텐츠 — Easy클코로 AI 시작하기 | 무료 학습 가이드 | AI 뉴스 더보기