글래스윙 프로젝트의 첫 결과 보고서에서 앤트로픽은 단 한 달 동안 1만 건이 넘는 심각한 보안 결함을 찾아냈다고 발표했습니다.
인공지능 기술 덕분에 문제점을 찾는 것은 훨씬 수월해졌지만, 이를 확인하고 수정 파일을 만들어 배포하는 사람의 처리 능력이 한계에 부딪혔다고 설명했습니다.
22일 공개된 보고서에 따르면, 클로드 미소스 프리뷰를 50여 개 협력 업체에 제공한 초기 성과가 상세히 담겨 있습니다. 이 모델을 활용한 업체들은 한 달 만에 핵심 코드 전반에서 1만 건 이상의 중대한 결함을 발견했습니다.
대다수 협력사는 수백 건의 문제를 찾았으며, 일부는 버그 탐지율이 10배 이상 급증했다고 밝혔습니다.
이 중 일부 사례는 이미 공개된 내용입니다. 영국 인공지능 보안 연구소는 이 모델이 세계 최초로 내부 사이버 공격 시뮬레이션을 처음부터 끝까지 완수했다고 전했습니다.
모질라는 파이어폭스에서 271개의 취약점을 수정했는데, 이는 이전 클로드 모델이 찾아낸 것의 10배가 넘는 수치입니다. 클라우드플레어는 2000개의 결함을 발견했으며, 그중 400개는 위험도가 높은 수준이었습니다.
팔로알토네트웍스는 최근 업데이트에서 평소보다 5배 이상 많은 패치를 배포했으며, 오라클은 이전보다 훨씬 빠른 속도로 취약점을 해결했다고 보고했습니다.
또한 협력 은행 중 한 곳은 고객 이 계정을 해킹하고 가짜 전화로 150만 달러를 빼돌리려는 시도를 미소스로 탐지하고 차단했습니다.
하지만 일부에서는 미소스의 오탐률이 높거나 불필요한 문제를 과도하게 지적할 가능성에 대해 우려해 왔습니다.
이를 해결하기 위해 앤트로픽은 인터넷 기반이 되는 1000개 이상의 주요 오픈소스 저장소를 검사해 총 2만 3019개의 취약점을 발견했습니다.
신뢰성 확보를 위해 이중 심각도가 높은 1752건의 취약점을 6개 사이버 보안 연구 기관과 자체 검토를 통해 검증한 결과, 90.6%(1587개)가 실제 취약점으로 확인됐습니다.
일부 발견은 실제로 심각한 결과를 초래할 수 있었습니다. 예를 들어, 미소스는 전 세계 수십억 대의 기기에서 사용되는 wolfSSL 암호화 라이브러리의 취약점을 발견하고, 이를 악용할 수 있는 공격 코드까지 생성했습니다.
이 취약점을 이용하면 공격자는 인증서를 위조해 합법적으로 보이는 가짜 은행이나 이 사이트를 만들 수 있습니다. 이 문제는 현재 수정된 상태입니다.
또한 이번에 발견된 오픈소스 취약점을 공개하는 대시보드도 오픈했습니다.
앤트로픽은 “이제 중요한 과제는 취약점을 찾는 것을 넘어, 취약점을 검증하고 공개하고 패치하는 것으로 바뀌었다”라고 강조했습니다.
특히 발견된 취약점의 양이 너무 많아 보안 팀에 큰 부담을 주고 있다는 설명입니다.
미소스가 찾아낸 버그를 패치하는 데에는 평균 2주가 소요됩니다. 하지만 인력 문제를 겪는 일부 오픈소스 관리자들은 패치 개발 속도를 맞추기 위해 앤트로픽에 취약점 공개 속도를 늦춰달라고 요청했다는 것입니다.
현재까지 알려진 중요 문제 중 완전히 패치되고 공개된 것도 극히 일부분이라고 밝혔습니다.
여기에 앤트로픽을 포함한 어떤 회사도 미소스 수준 모델의 악의적인 사용을 막을 만한 안전장치를 아직 개발하지 못했다고 전했습니다. 모델의 공개 출시를 미루는 것도 이 때문이라는 설명입니다.
대신 앤트로픽은 기업 고객을 위해 취약점 검사 도구인 클로드 시큐리티를 공개 베타 버전으로 출시했습니다.
이 도구는 미소스보다는 성능이 떨어지지만, 출시한 모델 중 최고 성능인 클로드 오퍼스 4.7을 활용해 코드베이스의 취약점을 검사하고 수정 제안을 생성합니다. 이를 통해 3주 동안 2100개 이상의 취약점을 패치했다고 밝혔습니다.
기업들이 적극적으로 자체 코드를 수정한 결과로, 오픈소스 패치보다 훨씬 빠른 속도입니다.
또한 사이버보안 전문가용 프로그램을 시작한다고 밝혔습니다. 이는 기존 모델의 안전 제한을 해제해 주는 특수 승인 프로그램으로, 미소스에 접근하지 않고도 취약점 연구나 침투 테스트, 레드팀 활동 등을 이전보다 쉽게 진행할 수 있습니다.
앤트로픽은 “미국과 동맹국 정부를 포함한 주요 파트너들과 협력해 글래스윙 프로젝트를 더 많은 파트너로 확대할 것”이라고 예고했습니다. 이어 강력한 안전장치를 개발하는 대로 곧 미소스급 모델을 일반에게 공개할 수 있기를 기대한다고 덧붙였습니다.