AI가 생성한 코드를 맹목적으로 신뢰하지 않도록 어떻게 리뷰하나요?

Question

Accepted Answer

AI가 생성한 코드는 **자신 있지만 실수할 수 있는 작성자의 초안**입니다. 종종 맞아 보이고 컴파일도 되지만, 미묘한 버그, 지어낸 API, 보안 구멍을 숨기고 있습니다. 규율 있는 리뷰는 위험 없이 속도를 유지합니다.

## 리뷰 체크리스트

- **모든 줄을 읽으세요.** 대충 훑으면 나중에 설명할 수 없는 버그를 ship하게 됩니다. 예외 없음.
- **실제 문제를 해결하는지 검증** — 비슷해 보이는 다른 문제가 아니라. AI는 정확함이 아니라 그럴듯함을 최적화합니다.
- **테스트와 linter를 실행.** 신경 쓰는 케이스에 대한 테스트를 추가하고, AI 자신의 테스트도 맹목적으로 믿지 마세요.
- **edge case 확인** — 빈 입력, null, 큰 값, concurrency, 경계 조건.
- **보안 확인** — SQL/command injection, 정제되지 않은 입력, 코드 내 secret, 안전하지 않은 deserialization.
- **성능 확인** — 실수로 만든 O(n²) 루프, N+1 쿼리, 무제한 메모리.
- **API가 존재하는지 확인** — AI는 진짜처럼 보이는 method 이름과 라이브러리 함수를 hallucinate합니다.
- **이해하지 못한 코드를 절대 붙여넣지 마세요.** 설명할 수 없다면 유지보수나 디버그도 할 수 없습니다.

## 실용적 흐름

```text
1. diff를 완전히 읽기  →  모든 줄을 이해하는가?
2. edge case를 포함해 실제 문제를 해결하는가?
3. 실행: tests + linter + type checker
4. 보안 + 성능 위험 신호 스캔
5. 그다음에만: commit (실제로 하는 일을 반영한 메시지로)
```

AI를 빠른 주니어 개발자처럼 대하세요: 도움이 되고 생산적이지만, 코드베이스에 들어가기 전 항상 출력을 리뷰합니다. ship된 코드에 대한 책임은 모델이 아니라 당신에게 있습니다.

## 왜 중요한가

AI 코드의 위험은 명백히 망가졌다는 데 있지 않습니다 — *그럴듯하게* 망가져 있어, 버그나 취약점을 품은 채 가벼운 일별을 통과한다는 데 있습니다. 모든 줄을 읽고, 테스트를 실행하고, 이해하지 못한 코드의 ship을 거부하는 것이 AI를 힘의 증폭기로 쓰는 것과, 설명할 수 없는 기술 부채와 보안 위험을 조용히 쌓아가는 것을 가릅니다.