프로젝트 글래스윙: 초기 업데이트
출처: Hacker News
지난 달, 우리는 Project Glasswing을 시작했습니다. 이는 AI 모델이 점점 더 강력해짐에 따라 그 모델이 악용되는 것을 방지하기 위해 세계에서 가장 중요한 소프트웨어를 보호하려는 협업 프로젝트입니다.
그 이후로, 우리와 약 50명의 파트너는 Claude Mythos Preview를 활용해 전 세계에서 가장 시스템적으로 중요한 소프트웨어 전반에 걸쳐 1만 건이 넘는 고위험·중대위험 취약점을 발견했습니다. 소프트웨어 보안의 진전은 과거에는 새로운 취약점을 얼마나 빨리 찾을 수 있느냐에 제한되었습니다. 이제는 AI가 찾아낸 방대한 양의 취약점을 얼마나 신속히 검증·공개·패치하느냐가 제한 요소가 되고 있습니다.
이 글에서는 Project Glasswing 초기에 직면한 사이버 보안의 핵심 과제에 대해 우리가 배운 점을 논의합니다. Mythos Preview의 초기 성능에 대한 공개 증거, 수천 개의 오픈소스 프로젝트를 스캔한 초기 결과, 그리고 이러한 진전이 오늘날 사이버 방어자들에게 의미하는 바를 중점적으로 살펴봅니다. 또한 Project Glasswing의 향후 계획과 향후 Mythos‑급 모델을 어떻게 출시할지에 대한 우리의 생각도 다룹니다.
초기 결과
Mythos Preview 발견 사항을 논의하는 우리의 접근 방식
소프트웨어 업계의 오랜 관행은 새로운 취약점을 발견한 후 90일이 지나야 공개하는 것입니다(패치가 90일 이내에 만들어지면 패치가 배포된 뒤 약 45일에 공개). 이는 사용자가 공격자에게 악용되기 전에 소프트웨어를 업데이트할 시간을 확보하기 위함이며, 우리 자체 협조적 취약점 공개 정책도 이 방식을 따릅니다.
하지만 이 방식은 공개된 취약점이 AI 모델의 사이버 역량이 가속화되는 최전선을 뒤늦게 반영한다는 의미이기도 합니다. 아직은 파트너들이 Mythos Preview를 통해 찾은 결과를 완전히 상세히 공개해도 사용자에게 위험을 초래하지 않을 시점이 아닙니다. 대신 우리는 모델 성능을 보여주는 예시와 현재까지의 진행 상황에 대한 집계 통계만 제공하고 있습니다. Mythos Preview가 발견한 취약점에 대한 패치가 널리 배포되면, 우리가 얻은 교훈을 훨씬 더 상세히 공개할 예정입니다.
파트너와 외부 테스터들의 증거
Project Glasswing의 초기 파트너들은 인터넷 및 기타 핵심 인프라의 작동에 필수적인 소프트웨어를 구축·유지보수하고 있습니다. 이들의 코드에서 결함을 수정하면 이를 의존하는 수많은 조직의 위험이 감소하고, 결국 수십억 사용자에게도 위험이 감소합니다.
한 달이 지나자 대부분의 파트너는 각자 수백 건의 중대·고위험 취약점을 발견했습니다. 전체적으로는 1만 건이 넘는 취약점을 찾아냈으며, 몇몇 파트너는 버그 탐지 속도가 10배 이상 증가했다고 전했습니다. 예를 들어, Cloudflare는 핵심 경로 시스템 전반에서 2,000건의 버그(그 중 400건이 고위험·중대위험)를 발견했으며, Cloudflare 팀은 이들의 오탐률이 인간 테스터보다 뛰어나다고 평가했습니다.
이는 외부 테스터들의 Mythos Preview 성능 체험과 최근 추가 평가 결과와도 일치합니다:
- 영국 AI 보안 연구소가 보고한 바에 따르면, Mythos Preview는 그들의 사이버 레인지(다단계 사이버 공격 시뮬레이션)를 처음으로 끝까지 해결한 모델입니다;
- Mozilla는 Mythos Preview를 테스트하면서 Firefox 150에서 271개의 취약점을 발견·수정했으며, 이는 Claude Opus 4.6으로 Firefox 148을 테스트했을 때보다 10배 이상 많은 수치입니다;
- XBOW, 독립 보안 플랫폼은 Mythos Preview가 자체 웹 익스플로잇 벤치마크에서 “기존 모든 모델에 비해 현저히 뛰어나다”며, 토큰 단위로 “절대적으로 전례 없는 정밀도”를 제공한다고 보고했습니다;
- 최근 공개된 학술 벤치마크인 ExploitBench와 ExploitGym은 모델의 익스플로잇 개발 역량을 측정하는데, Mythos Preview가 가장 강력한 성능을 보였습니다. 이 벤치마크가 모델에 대해 의미하는 바는 우리 Frontier Red Team 블로그에서 자세히 다룹니다.
보다 일반적인 관점에서 보면, 패치된 소프트웨어가 훨씬 더 빠르게 배포되고 있습니다. 최신 Palo Alto Networks 릴리스는 평소보다 5배 이상 많은 패치를 포함했으며, Microsoft는 새 패치 수가 “한동안 계속 증가할 것”이라고 보고했습니다. Oracle 역시 제품 및 클라우드 전반에서 취약점을 여러 배 빠르게 찾아내고 수정하고 있습니다(관련 기사).
Mythos Preview는 다른 보안 작업에도 유용합니다. 예를 들어, 우리 Glasswing 파트너 은행 중 하나에서는 위협 행위자가 고객 이메일 계정을 탈취하고 위조 전화를 걸어 150만 달러 규모의 부정 송금을 시도했을 때, Mythos Preview가 이를 탐지·차단하는 데 도움을 주었습니다.
오픈소스 소프트웨어
지난 몇 달 동안 Anthropic은 Mythos Preview를 활용해 1,000개가 넘는 오픈소스 프로젝트를 스캔했습니다. 이 프로젝트들은 인터넷의 대부분과 우리 자체 인프라를 뒷받침합니다.
현재까지 Mythos Preview는 이들 프로젝트에서 6,202건의 고위험·중대위험 취약점을 발견했으며(전체 23,019건 중, 나머지는 중·저위험으로 추정), 이 중 1,752건은 6개의 독립 보안 연구 기관 중 하나가, 혹은 소수의 경우 직접 우리 팀이 신중히 평가했습니다. 평가 결과, 90.6%(1,587건)가 실제 양성으로 확인됐으며, 62.4%(1,094건)가 고위험·중대위험으로 확정되었습니다. 이는 Mythos Preview가 추가 취약점을 더 이상 찾지 못하더라도, 현재의 사후 triage 양성 비율을 기준으로 오픈소스 코드에서 거의 3,900건에 달하는 고위험·중대위험 취약점을 이미 찾아냈다는 의미이며, 이는 Project Glasswing 파트너를 위해 발견한 취약점에 추가되는 수치입니다. 물론 우리는 오픈소스 코드를 앞으로도 계속 스캔할 계획이므로 이 숫자는 더욱 증가할 것입니다.
Mythos Preview가 탐지한 오픈소스 취약점 사례 중 하나는 wolfSSL(wolfSSL 홈페이지)에서 발견되었습니다. wolfSSL은 보안성이 뛰어나며 전 세계 수십억 기기에서 사용되는 오픈소스 암호화 라이브러리입니다. Mythos Preview는 공격자가 인증서를 위조해(예: 은행이나 이메일 제공업체의 가짜 웹사이트를 호스팅하도록) 실제 사용자에게는 정상적인 사이트처럼 보이게 하는 익스플로잇을 구성했습니다(관련 기사). 이 취약점은 현재 CVE-2026-5194(NVD 링크)로 지정되어 패치되었으며, 우리는 향후 몇 주 안에 전체 기술 분석을 공개할 예정입니다.
앞서 언급했듯이, 이러한 버그를 수정하는 데 가장 큰 병목은 인간이 triage하고 보고하며 패치를 설계·배포하는 능력입니다. 취약점을 찾는 일 자체는 Mythos Preview 덕분에 훨씬 수월해졌습니다. 우리는 아래에 오픈소스 취약점 대시보드(링크)를 만들었으며, 여기에는 공개 프로세스의 각 단계와 시간 경과에 따른 진행 상황이 표시됩니다. This