--- title: "Anthropic, AI로 제로데이 취약점 잡는 'Project Glasswing' 발표 — 11개 빅테크와 공동 추진" published: 2026-04-07T18:09:34.000Z canonical: https://jeff.news/article/1618 --- # Anthropic, AI로 제로데이 취약점 잡는 'Project Glasswing' 발표 — 11개 빅테크와 공동 추진 Anthropic이 AWS, Apple, Google, Microsoft 등 11개 파트너와 함께 AI 기반 사이버보안 프로젝트 'Glasswing'을 발표했음. 새 모델 Claude Mythos Preview가 OpenBSD 27년 된 버그, FFmpeg 16년 된 결함 등 수천 개의 제로데이 취약점을 발견했고, 참여 기관에 총 1억 달러 상당의 크레딧을 제공함. - Anthropic이 'Project Glasswing'이라는 사이버보안 프로젝트를 발표함 — AWS, Apple, Google, Microsoft, NVIDIA, CrowdStrike 등 11개 대형 파트너와 함께 - 핵심은 새 모델 Claude Mythos Preview의 취약점 탐지 능력을 오픈소스·핵심 인프라 보안에 투입하겠다는 것 ## 발견된 제로데이 취약점들 - Mythos Preview가 주요 OS와 웹 브라우저에서 수천 개의 제로데이 취약점을 찾아냄 - **OpenBSD**: 27년 동안 숨어있던 원격 크래시 취약점 발견 — 보안 최우선으로 설계된 OS에서 - **FFmpeg**: 16년 된 영상 인코딩/디코딩 결함. 500만 번의 자동화 테스트를 다 통과했던 놈임 - **Linux 커널**: 일반 사용자 권한에서 시스템 완전 장악까지 가능한 권한 상승 취약점 체인 발견 > [!IMPORTANT] > CyberGym 벤치마크에서 취약점 재현 성공률 83.1% 달성 — 기존 Opus 4.6의 66.6%를 크게 상회함 ## 코딩 벤치마크도 압도적 - SWE-bench 시리즈에서 전작 대비 큰 폭의 성능 향상을 보여줌 - SWE-bench Pro: 77.8% (Opus 4.6은 53.4%) - SWE-bench Verified: 93.9% (Opus 4.6은 80.8%) - Terminal-Bench 2.0: 82.0% (Opus 4.6은 65.4%) - 가격은 입력 토큰 100만 개당 $25, 출력 $125 — 프리뷰 이후 적용 예정 ## 투자 규모와 프로그램 구조 - 참여 기관에 총 $1억 상당의 Mythos Preview 사용 크레딧 제공 - Linux Foundation 산하 Alpha-Omega·OpenSSF에 $250만 - Apache Software Foundation에 $150만 - 12개 론칭 파트너 + 40개 이상의 핵심 소프트웨어 인프라 조직에 접근 확대 - 오픈소스 메인테이너를 위한 'Claude for Open Source' 프로그램도 운영 ## 적용 분야와 향후 계획 - 로컬 취약점 탐지, 블랙박스 바이너리 테스팅, 엔드포인트 보안, 침투 테스팅 등에 활용 - 90일마다 수정된 취약점과 개선 사항을 공개 보고할 예정 - 독립 제3자 거버넌스 기구 설립도 검토 중 - Anthropic은 AI 사이버 역량의 국가 안보 영향에 대해 미국 정부와 협력할 준비가 되어있다고 밝힘 > [!NOTE] > Anthropic 측 표현에 따르면 "AI 모델이 취약점 익스플로잇에서 최고 수준의 인간 전문가를 제외하면 모두 능가하는 수준에 도달했다"고 함. 전 세계 사이버 범죄 비용은 연간 약 $5000억으로 추산됨 --- ## 기술 맥락 - AI를 사이버보안 공격이 아니라 방어에 쓰겠다는 게 Glasswing의 핵심이에요. 기존에는 AI가 악용될 위험이 주로 논의됐는데, Anthropic은 "어차피 이 수준의 AI는 나올 거니까 방어에 먼저 쓰자"는 전략을 택한 거거든요 - Mythos Preview가 찾아낸 취약점들이 인상적인 건, 기존 자동화 도구(퍼징, 정적 분석 등)가 수십 년간 놓친 것들이라는 점이에요. FFmpeg의 경우 500만 번의 테스트를 통과한 코드에서 16년 된 버그를 잡아냈다는 건, AI가 패턴 매칭이 아니라 코드의 의미를 이해하고 있다는 걸 시사해요 - SWE-bench Pro에서 77.8%라는 수치는 단순 코드 생성이 아니라 실제 GitHub 이슈를 해결하는 벤치마크에요. Opus 4.6 대비 24%p 이상 점프한 건 상당히 큰 폭이에요 - $1억 크레딧을 뿌리면서 Linux Foundation과 Apache에 별도 투자까지 하는 건, 오픈소스 생태계에서 실질적 성과를 만들어 규제 논의에서 유리한 포지션을 잡으려는 의도도 읽혀요 ## 핵심 포인트 - Claude Mythos Preview가 주요 OS·브라우저에서 수천 개 제로데이 취약점 발견 - OpenBSD 27년, FFmpeg 16년, Linux 커널 권한 상승 등 기존 자동화 도구가 놓친 취약점 탐지 - CyberGym 벤치마크 83.1%, SWE-bench Pro 77.8%로 Opus 4.6 대비 큰 폭 향상 - 참여 기관에 $1억 크레딧 + Linux Foundation·Apache에 별도 $400만 투자 - 90일 주기로 취약점 수정 현황 공개 보고 예정 ## 인사이트 AI를 사이버 공격이 아닌 방어에 선제적으로 투입하겠다는 전략인데, 오픈소스 생태계에 실질적 투자를 동반해서 단순 PR이 아닌 실행력이 보임. 규제 논의에서 유리한 포지션을 잡으려는 의도도 읽힘.