Anthropic의 새로운 모델 Mythos는 Firefox의 사이버 보안 전략을 재구성합니다

Anthropic이 지난 4월 새로운 모델인 Mythos를 출시하자 AI 연구소는 동시에 소프트웨어 개발 업계에 강력한 경고를 발령했습니다. 이 모델은 소프트웨어 보안 취약점을 마이닝하는 능력이 뛰어나며 수천 개의 고위험 취약점을 발견했다고 합니다. 이러한 문제가 해결될 때까지 모델은 외부 세계에 완전히 공개될 수 없습니다.

이제 처음으로 Mozilla Firefox 브라우저 보안 연구자들은 실제 엔지니어링에서 이 프로세스가 어떻게 작동하는지에 대한 세부 정보를 체계적으로 공개하고 Mythos가 전체 소프트웨어 보안 생태계에 어떤 의미인지 설명하려고 노력했습니다. Mythos는 Firefox에서 심각도가 높은 여러 가지 취약점을 발견했으며 그 중 일부는 10년 이상 코드에 잠복해 있었다고 Mozilla가 목요일에 게시했습니다.

불과 반년 만에 AI 보안 도구의 유용성이 크게 도약했습니다. 과거에는 다양한 AI 자동 오류 검사 도구가 시끄러운 경우가 많았고, 품질이 좋지 않고 오탐(false positive)이 많다는 보고가 보안 팀에 쏟아져 엔지니어링 팀이 대처하는 데 어려움을 겪는 경우가 많았습니다. Mozilla 연구자들은 새로운 세대의 도구가 특히 "에이전트와 같은" 기능을 갖춘 후에는 "변곡점에 도달"했다고 믿습니다. 모델은 자체 분석 결과에 대한 2차 평가 및 선별을 수행하여 신뢰할 수 없는 다수의 출력을 필터링할 수 있습니다.

연구원들은 "이 변화가 몇 달 안에 우리에게 얼마나 큰 영향을 미칠지 과장하기 어렵습니다"라고 썼습니다. "우선, 모델 자체의 기능이 크게 향상되었습니다. 둘째, 이러한 모델을 제어하는 ​​방법에 대한 기술 스택도 빠르게 발전했습니다."

특히 결과 수준에서 변경 사항은 특히 직관적입니다. 2026년 4월에 Firefox는 총 423개의 취약점 수정 패치를 출시했지만 1년 전 같은 달에는 이 숫자가 31개에 불과했습니다. 연구팀은 또한 두 개의 희귀한 샌드박스 보안 메커니즘 결함과 15년 된 HTML 요소 구문 분석을 포함하여 12개의 취약점에 대한 기술적 세부 정보를 공개했습니다. 오류.

Mozilla의 저명한 엔지니어 Brian Grinstead는 TechCrunch와의 인터뷰에서 “이러한 도구는 이제 갑자기 매우 유용해지고 있습니다.”라고 말했습니다. "우리는 내부 스캐닝 시스템에서 이를 확인했으며 외부 및 업계 전반에 걸쳐 제출된 취약성 보고서에서도 동일한 추세를 확인했습니다."

가장 눈에 띄는 점 중 하나는 Mythos가 브라우저의 "샌드박스" 메커니즘과 관련된 여러 가지 취약점을 발견하는 데 도움이 되었다는 것입니다. 업계에서 이러한 유형의 취약점은 항상 발견하기 가장 어렵고 해로운 결함 중 하나로 간주되어 왔습니다. 샌드박스 취약점을 성공적으로 찾아 검증하려면 모델이 악의적인 변경 사항이 포함된 패치를 작성할 수 있을 뿐만 아니라 이 새로운 코드를 도입한 후 브라우저의 가장 보호되는 부분을 공격할 수 있어야 합니다. 이 프로세스는 다단계 작업 간에 엄격한 논리와 충분한 창의성을 유지해야 하며 기존 결함 마이닝보다 훨씬 어렵습니다.

그 가치는 경제적 인센티브 측면에서도 볼 수 있습니다. Mozilla의 버그 포상금 프로그램은 Firefox 샌드박스 취약점에 대해 최대 $20,000의 보상을 제공합니다. 이는 모든 취약점 범주 중 가장 높은 보상 한도입니다. 그럼에도 불구하고 Grinstead는 Mythos가 이제 인간 보안 연구원들이 과거 포상금을 통해 발견한 것보다 더 많은 샌드박스 관련 문제를 발견했다고 말했습니다. "우리는 샌드박스 취약점에 대한 보고를 받습니다. 하지만 양 측면에서 보면 이 새로운 기술을 사용하여 사전에 발견한 규모에는 미치지 못합니다."

AI 코드 생성 도구가 업계에서 크게 발전했음에도 불구하고 Firefox 팀은 현재 이러한 취약점을 직접 해결하기 위해 AI에 의존하지 않는다는 점에 주목할 필요가 있습니다. 팀은 모델이 각 취약점을 기반으로 패치를 생성하도록 시도하지만 자동으로 생성된 이러한 코드는 일반적으로 백본에 직접 통합될 수 없으며 인간 엔지니어가 수정 사항을 작성하는 참조 템플릿으로만 사용할 수 있습니다.

"이 기사에 언급된 각 취약점에 대해 한 엔지니어가 패치 작성을 완료했고, 다른 엔지니어가 코드 검토를 완료했습니다." 그린스테드는 강조했다. "우리는 아직 이 프로세스를 완전히 자동화할 수 있는 안정적인 방법을 찾지 못했습니다."

보다 거시적인 수준에서 AI 기능의 급속한 발전이 네트워크 공격과 방어 사이의 힘의 균형을 어떻게 변화시킬지는 아직 불분명합니다. Mythos의 프리뷰 버전이 출시된 지 한 달이 넘었고, 발견된 대부분의 결함은 아직 수정 과정에 있습니다. 이는 외부 세계에서 장기적인 영향을 완전히 평가하기 어렵다는 의미이기도 합니다. Anthropic은 책임 있는 공개 관행을 엄격히 준수하고 관련 프로젝트와 취약점 세부 정보를 점차적으로 전달해 왔지만, 일부 악의적인 행위자도 사용하는 모델의 성능이 여전히 열등하더라도 비공개적으로 유사한 기술을 시도하고 있다고 추측하는 것이 합리적입니다.

최근 공개 행사에서 Anthropic CEO Dario Amodei는 이러한 추세에 대해 상대적으로 낙관적이었습니다. 그의 견해로는 업계가 이러한 도구의 사용 방법을 적절하게 규제한다면 방어자들은 현재보다 더 나은 위치에 있게 될 수 있습니다. Amodei는 "우리가 올바르게 수행한다면 이러한 취약점을 하나씩 수정할 것이기 때문에 처음보다 더 안전한 상황으로 끝날 수 있기를 바랍니다"라고 말했습니다. “전체 취약점 수는 제한되어 있으므로 이후에는 더 나은 세상을 여는 것이 가능합니다.”

이에 비해 오랫동안 최전선에서 취약점을 다루어 온 그린스테드는 더욱 조심스럽다. "이 도구는 공격자와 수비수 모두에게 똑같이 유용하지만, 그 인기로 인해 적어도 방어자 쪽으로 이점이 약간 기울어졌습니다."라고 그는 말했습니다. "더 현실적인 진술은 현재로서는 누구도 이 질문에 대한 최종 답을 줄 수 없다는 것입니다."