Cloudflare가 Cloudflare Workers에 Matrix를 구현했다고 주장했지만 실제로는 그렇지 않음

• Cloudflare가 Matrix 프로토콜을 Cloudflare Workers에 구현했다고 발표했으나, 코드에는 핵심 기능이 빠져 있음
• 코드 전반에 ‘TODO: Check authorisation’ 같은 미완성 주석이 다수 존재하며, 서명 검증·인증 절차가 누락된 상태
• 상태 해결 알고리듬을 구현하지 않고 최신 상태를 직접 데이터베이스에 삽입해 보안 취약점과 호환성 문제 발생 가능
• 블로그 게시 후 Cloudflare 측이 게시글과 README를 수정하며 ‘프로덕션용이 아님’이라는 면책 문구를 추가
• 개발자 커뮤니티에서는 AI 생성 코드와 허위 기술 주장에 대한 비판이 확산, Cloudflare의 신뢰성에 의문 제기

Cloudflare의 Matrix 구현 주장과 코드 검증

• Cloudflare가 자사 블로그에서 Matrix를 Cloudflare Workers 위에 구현했다고 발표했으나, 실제 코드는 핵심 기능을 수행하지 않음
  • 코드에는 ‘TODO: Validate PDU signature’, ‘TODO: Check authorization’ 등의 미완성 주석이 남아 있음
  • Matrix 서버 간 API의 인증 규칙을 구현하지 않아 위조된 데이터도 허용되는 상태
• Matrix의 핵심인 상태 해결(state resolution) 알고리듬을 생략하고, 단순히 최신 상태를 DB에 삽입하는 방식 사용
  • 이로 인해 방(room) 상태 불일치와 상호운용성 문제, 보안 취약점이 발생할 수 있음

잘못된 기술 주장과 수정 이력

• Cloudflare 블로그에서 Tuwunel과 그 전신이 Postgres나 Redis를 사용했다고 기술했으나, 이는 사실이 아님
• 이후 게시글이 수정되어 ‘Synapse’로 교체되고, README에도 “프로덕션용이 아닌 예시 프로토타입” 이라는 문구가 추가됨
  • GitHub 커밋(fd412f41f98c0f3f360f5c4034443ef80680de49)에서 이러한 수정이 확인됨
  • 수정본에는 Claude Code Opus 4.5의 도움을 받았다는 문장도 포함됨

커뮤니티 반응과 비판

• Mastodon과 Lobsters 등에서 AI 생성 코드와 허위 기술 홍보에 대한 비판이 확산
  • “서명 검증과 해시, 인증을 제거했다”, “보안이 아닌 단순한 예시 수준” 등의 지적 다수
• 일부 사용자는 Cloudflare의 대응을 “은폐 시도” 로 평가하며, 커밋 내역 삭제 및 강제 푸시(force push) 기록을 추적
• 커뮤니티 내에서는 풍자적 반응도 이어짐
  • “서버리스 구조라 비용이 0으로 스케일된다(존재하지 않기 때문)”
  • “Cloudflare는 메시지를 아예 보내지 않음으로써 완벽한 보안을 달성했다”

Jade의 추가 발언과 프로젝트 소개

• Jade는 자신이 개발 중인 Rust 기반 Matrix 홈서버 Continuwuity를 소개
  • Raspberry Pi에서도 실행 가능하며, 중앙화된 클라우드 인프라에 의존하지 않음
• FOSDEM 2026에서 Matrix 취약점 패치 경험을 주제로 발표 예정
  • 공동 발표자는 @nex@fedi.transgender.ing, Matrix 부스에서도 참여 예정

후속 논의와 기술적 세부 반응

• 여러 개발자들이 Cloudflare 코드의 논리 오류(예: || 대신 ?? 사용) , ‘unknown error’ 처리 방식, TODO 주석 남발 등을 지적
• 일부는 Cloudflare의 수정 커밋을 “‘Remove PII’가 공개 커밋으로 남은 점이 아이러니하다”고 언급
• 커뮤니티 전반에서 Cloudflare의 AI 의존적 개발과 기술적 신뢰성 부족에 대한 우려가 제기됨