보안 (3) 썸네일형 리스트형 AI가 버그를 찾는 시대 - Claude의 Firefox 취약점 발견이 의미하는 것 보안 연구자가 수십 년간 검토해온 코드베이스에서 AI가 20분 만에 심각한 취약점을 발견했습니다.Anthropic과 Mozilla의 협업 이야기입니다. Claude Opus 4.6은 2주 동안 Firefox 코드베이스를 분석해 22개의 CVE를 발견했고,그 중 14개는 high-severity로 분류됐습니다.이 수치는 2025년 한 해 동안 Firefox에서 패치된 high-severity 취약점의 약 5분의 1에 해당합니다. Firefox는 수억 명이 매일 사용하는 브라우저입니다.수십 년간 보안 연구자들이 검토해왔고, 지속적인 퍼징(fuzzing)과 정적 분석이 이루어진 프로젝트입니다.Anthropic이 이 프로젝트를 선택한 이유도 바로 그것입니다. Anthropic이 Firefox를 선택한 이유는 하.. XSS 패치 작업에서 놓치기 쉬운 것들 최근 알고 지내던 업체의 요청으로 XSS 취약점 패치 작업을 진행했습니다. 일회성 핫픽스가 아니라 근본적으로 코드베이스를 분석하고 문제를 막는 방향으로 작업을 진행했습니다. 서비스를 개발하다 보면 XSS 취약점 패치 작업을 마주하게 됩니다. 처음에는 단순한 시큐어 코딩 작업이라고 생각하기 쉽습니다. 취약한 입력값을 이스케이프 처리하고, 위험한 태그를 필터링하면 끝나는 작업처럼 보입니다. 그런데 공격자의 관점에서 바라보면 개발자 입장에서 쉽게 놓칠 수 있는 부분들이 추가로 눈에 들어옵니다.XSS는 크게 Stored XSS(저장형), Reflected XSS(반사형), DOM-based XSS(DOM 기반) 세 가지로 나뉩니다. 각각 발생하는 시점과 경로가 다르기 때문에 패치 방식도 달라집니다. Stored.. Claude Code Security 출시를 보며 든 생각 2008년, 저는 화이트해커로서 개발과 보안에 대한 공부를 시작했습니다. 자연스럽게 메모리 구조와 어셈블리어를 공부하게 되었고, 시스템의 취약점을 분석하고 이해하는 것에 흥미를 느꼈습니다. 시간이 많이 흘러 잊은 부분도 많지만, 그때 경험하고 학습한 보안과 시스템에 대한 이해가 이후 개발자로서 실무를 하는 과정에 큰 도움이 되었습니다. 이후 응용 소프트웨어 개발 분야로 이동하면서 익스플로잇, 취약점 분석, 시큐어 코딩 가이드 등을 서비스 개발에 자연스럽게 녹여낼 수 있었습니다. 초기에 해킹을 공부하며 익힌 공격자 관점의 시각이 실무에서 생각보다 큰 도움이 되었습니다. 2023년 GPT의 등장 이후 LLM의 발전을 지켜보며 보안과 해킹 분야에도 큰 접근성 변화가 올 것이라고 생각해왔는데, 마침 어제 Ant.. 이전 1 다음