[디지털투데이 황치규 기자]앤트로픽이  AI 모델 미토스 프리뷰로 소프트웨어 취약점을 찾을 수 있도록 기관과 기업 포함해 50곳을 대상으로 진행하는 프로젝트 글래스윙을 통해 한 달 동안 1만 건 이상 고위험·치명적 취약점을 발견했다고 26일(현지시간) 밝혔다.

앤트로픽은 프로젝트 글래스윙  성과와 과제를 정리한 보고서를 통해 이같이 밝혔다.

앤트로픽은 보고서에서 "소프트웨어 보안 진전은 과거에는 새 취약점을 얼마나 빨리 찾느냐에 있었다"며 "이제는 AI가 대량으로 찾아낸 취약점을 얼마나 빨리 검증하고 공개하고 패치하느냐에 달려 있다"고 강조했다.

보고서에는 프로젝트 글래스윙에 참여한 기업들이 미토스로 거둔 성과도 공유됐다.

클라우드플레어는 버그 2000개를 발견했고 이 중 400개가 고위험·치명적이었다. 오탐률은 사람 테스터보다 낮았다. 모질라는 미토스로 파이어폭스 150 브라우저에서 271개 취약점을 찾아 수정했다. 클로드 오퍼스 4.6으로 파이어폭스 148을 검사했을 때보다 10배 많은 수치다.

마이크로소프트는 프론티어 AI 모델 활용으로 신규 패치 수가 계속 늘어날 것으로 전망했다. 오라클은 제품·클라우드 환경에서 보안 결함을 몇 배 빠르게 찾아 수정하고 있다고 밝혔다. 팔로알토네트웍스 최신 릴리스에는 평소보다 5배 이상 많은 패치가 포함됐다.

리 클라리치 팔로알토 최고제품기술책임자는 "모델 역량을 과대평가한 것 아니냐는 의문이 있었지만, 테스트를 거듭할수록 처음에 생각했던 것보다 취약점 탐지 능력이 뛰어나다는 확신이 생겼다"고 말했다.

앤트로픽은 미토스로 인터넷 운영에 핵심적인 오픈소스 프로젝트 1000개 이상을 스캔했다. 2만3019개 취약점을 발견했고, 이 중 6202개가 고위험·치명적인 것으로 추정됐다. 독립 보안 연구 기관 6곳 평가에 따르면 발견된  것들 중  90.6%가 실제 취약점으로 확인됐고, 62.4%가 고위험·치명적으로 확인됐다고 보고서는 전했다.

앤트로픽은 보안 업계가 미토스급 모델이 대규모로 발견하는 취약점을 관리하는 프로세스를 만들어야 한다고 강조했다.

현재 업계는 취약점 발견 후 90일 이내 공개하는 관행을 따른다. 앤트로픽은 "취약점 발견·패치 생성·패치 배포 사이에 시차가 길어 공격자가 최약점을 악용할 수 있는 기간도 늘어난다"면서 "미토스급 모델이 취약점 발견·익스플로잇 비용과 시간을 크게 줄여 이 시차에 따른 위험은 더욱 커진다"고 경고했다.

앤트로픽은 클로드 엔터프라이즈 사용자를 위해 코드베이스 취약점을 스캔하고 수정안을 제안하는 '클로드 시큐리티'를 퍼블릭 베타로 5월초 출시했다. 앤트로픽은 "보다 강력한 안전장치를 개발한 뒤 가까운 미래에 미토스급 모델을 일반 공개할 수 있을 것으로 보고 있다"고 밝혔다.

• 온두 파이낸스 창업자 네이선 올먼, 돌연 사망
• 2014년부터 모은 비트코인 107개 전량 소각…대체 왜?
• 우버, AI 예산 4개월 만에 소진..."성과 입증 어려워"
• 마이크론, 주가 18% 급등...사상 첫 시가총액 1조달러 돌파
• XRP 1.30달러 지지 시험대…1.50달러 재돌파 여부에 상방 갈린다