보안 연구자가 수십 년간 검토해온 코드베이스에서 AI가 20분 만에 심각한 취약점을 발견했습니다.
Anthropic과 Mozilla의 협업 이야기입니다.
Claude Opus 4.6은 2주 동안 Firefox 코드베이스를 분석해 22개의 CVE를 발견했고,
그 중 14개는 high-severity로 분류됐습니다.
이 수치는 2025년 한 해 동안 Firefox에서 패치된 high-severity 취약점의 약 5분의 1에 해당합니다.
Firefox는 수억 명이 매일 사용하는 브라우저입니다.
수십 년간 보안 연구자들이 검토해왔고, 지속적인 퍼징(fuzzing)과 정적 분석이 이루어진 프로젝트입니다.
Anthropic이 이 프로젝트를 선택한 이유도 바로 그것입니다.
Anthropic이 Firefox를 선택한 이유는 하나였습니다.
세상에서 가장 잘 테스트된 프로젝트에서 미발견 취약점을 찾을 수 있다면,
그것이 지금 이 순간의 긴박함을 말해준다는 것이었습니다.
Claude는 탐색 시작 20분 만에 첫 번째 Use-After-Free 취약점을 발견했습니다.
JavaScript 엔진에서 시작해 C++ 파일로 범위를 확대했고,
결국 112개의 버그 리포트를 Mozilla에 제출했습니다.
그런데 이 협업의 구조를 자세히 보면, 숫자보다 중요한 것이 보입니다.
Claude가 취약점을 발견하면, Anthropic 연구자가 독립된 가상 환경에서 직접 검증했습니다.
검증된 것만 Mozilla에 제출했고, Mozilla 엔지니어들이 수 시간 안에 패치를 작성했습니다.
AI가 찾고, 인간이 판단하고, 인간이 고쳤습니다.
Mozilla가 이번 협업을 이전과 다르게 받아들인 이유도 이 구조에 있습니다.
기존 AI 기반 버그 제출은 오탐(false positive)이 많아 오히려 유지보수 부담이었습니다.
이번에는 재현 가능한 최소 테스트 케이스가 함께 제출됐고,
팀이 수 시간 안에 패치를 배포할 수 있었습니다.
AI의 탐색 능력과 인간의 검증이 결합됐을 때
비로소 결과가 신뢰받을 수 있었습니다.
한 가지 더 주목할 데이터가 있습니다.
Anthropic은 Claude가 취약점을 찾은 뒤 익스플로잇 코드까지 작성할 수 있는지 테스트했습니다.
$4,000의 API 비용을 쓰며 수백 번 시도했지만, 성공한 것은 단 2건이었습니다.
그마저도 브라우저 샌드박스가 비활성화된 제한된 환경에서만 작동했습니다.
현재 AI는 취약점을 찾는 능력이 익스플로잇 작성 능력보다 훨씬 앞서 있습니다.
이 격차가 지금 방어자에게 유리한 시간을 만들어줍니다.
그러나 Anthropic은 이 격차가 오래가지 않을 것이라고 직접 밝혔습니다.
AI 혼자였다면 이 결과는 나오지 않았습니다.
Claude는 수천 개의 코드 경로를 빠르게 탐색하는 일을 했고,
인간은 그 결과가 실제 위협인지 판단하고 신뢰할 수 있는 형태로 만드는 일을 했습니다.
각자가 잘하는 일을 나눴을 때 결과가 달라졌습니다.
Mozilla는 이번 협업 이후 AI 기반 보안 분석을 내부 워크플로우에 통합하기로 했습니다.
보안 팀이 AI를 도구로 쓰는 것이 아니라, AI와 함께 일하는 방식으로 전환하는 것입니다.
공격자도 같은 기술을 쓸 수 있습니다.
방어하는 쪽이 먼저 이 협업 방식을 갖춰야 합니다.
더 자세한 내용은 Anthropic이 공개한 아래 글에서 확인할 수 있습니다.
https://www.anthropic.com/news/mozilla-firefox-security
'일과 생각' 카테고리의 다른 글
| OpenAI도 보안 에이전트를 출시했습니다 - Codex Security가 의미하는 것 (0) | 2026.03.11 |
|---|---|
| 인터럽트 기반 스티어링 - AI 에이전트를 언제 멈추게 할지 아는 것 (0) | 2026.03.09 |
| 평가를 통해 AI 에이전트의 역량을 체계적으로 테스트하는 방법 (1) | 2026.03.08 |
| AI는 대화를 어떻게 "기억"하는가 - 컨텍스트 윈도우와 컴팩션에 대하여 (0) | 2026.03.07 |
| CTO에서 CTSO로, 이사회에서 새로운 역할을 제안받았습니다. (0) | 2026.03.06 |