본문으로 건너뛰기
피드

소형 오픈 모델도 Anthropic Mythos가 찾은 취약점 대부분을 재현했다 — 해자는 모델이 아니라 시스템

ai-ml 약 12분
vote
0
댓글
북마크

AI 보안 스타트업 AISLE이 Anthropic Mythos의 쇼케이스 취약점들을 소형·저가 오픈 모델로 테스트한 결과, 36억 파라미터 모델도 FreeBSD NFS RCE를 탐지하고 51억 파라미터 모델이 27년 된 OpenBSD 버그를 복원했다. AI 사이버보안 능력은 모델 크기에 비례하지 않으며 태스크마다 순위가 완전히 뒤섞이는 '들쭉날쭉한 프론티어'를 보인다.

  • 1

    Mythos 대표 취약점 FreeBSD NFS RCE를 8/8 소형 모델이 단일 API 호출로 탐지

  • 2

    OWASP 거짓 양성 판별에서 소형 오픈 모델이 대형 프론티어 모델을 역전하는 역스케일링 현상 확인

  • 3

    AI 보안의 해자는 모델 지능이 아니라 탐지-검증-트리아지-패치 파이프라인과 보안 전문성

  • 4

    저렴한 모델로 광범위 스캔 후 비싼 모델로 검증하는 전략이 단일 프론티어 모델보다 효과적

  • 5

    익스플로잇 구성에서만 Mythos급 분리 존재, 방어 목적에는 소형 모델로 충분

Anthropic Mythos가 찾은 취약점, 작은 모델도 다 찾았다

  • AISLE이라는 AI 보안 스타트업이 Anthropic Mythos의 쇼케이스 취약점들을 소형·저가 오픈 모델로 돌려봤더니, 대부분의 분석 결과를 재현함
    • Mythos의 대표 성과인 FreeBSD NFS RCE 취약점(CVE-2026-4747)을 8개 모델 전부가 탐지 — 활성 파라미터 36억개, 토큰 100만개당 $0.11짜리 모델도 포함
    • 27년 된 OpenBSD SACK 버그의 핵심 체인도 활성 파라미터 51억개 오픈 모델이 단일 API 호출로 복원
  • AI 사이버보안 능력은 "들쭉날쭉한 프론티어(jagged frontier)"임 — 모델 크기나 가격에 비례해서 스케일링되지 않음
    • 기본적인 OWASP 보안 추론 태스크에서는 소형 오픈 모델이 대형 프론티어 모델을 역전
    • 태스크 바꾸면 순위가 완전히 뒤섞임: GPT-OSS-120b는 OpenBSD SACK 체인을 복원하면서도 Java ArrayList 데이터 흐름 추적은 실패, Qwen3 32B는 FreeBSD에서 CVSS 만점 평가를 내놓고 SACK 코드는 "robust"하다고 선언

중요

> 핵심 주장은 "해자(moat)는 모델이 아니라 시스템에 있다"는 것. AI 보안에서 진짜 중요한 건 탐지·검증·트리아지·패치까지 이어지는 파이프라인과 거기에 내장된 보안 전문성이라는 얘기.

배경: AISLE은 이미 실전에서 돌리고 있었음

  • AISLE은 2025년 중반부터 제로데이 탐지·검증·패치 시스템을 라이브 타겟 대상으로 운영 중
    • OpenSSL에서 CVE 15개 (단일 보안 릴리즈에서 12/12, 25년+ 된 버그 포함, CVSS 9.8 Critical)
    • curl에서 CVE 5개, 30개+ 프로젝트에서 180개+ 외부 검증 CVE
    • OpenSSL CTO가 "리포트 품질과 협업에 감사한다"고 할 정도의 메인테이너 신뢰 확보
  • 다양한 모델을 써봤는데 Anthropic 모델이 일관되게 최고 성능을 보인 건 아님 — 설계적으로 모델 중립(model-agnostic)

Mythos 발표의 문제: 파이프라인을 뭉뚱그림

  • Anthropic은 AI 보안을 "Mythos를 코드베이스에 갖다 대면 취약점을 찾고 익스플로잇한다"는 단일 능력으로 제시했는데, 실제로는 모듈별로 스케일링 특성이 완전히 다른 파이프라인임
    • 광범위 스캔 → 취약점 탐지 → 트리아지/검증 → 패치 생성 → (잠재적으로) 익스플로잇 구성
    • AI 보안의 생산함수 입력값: 토큰당 지능, 달러당 토큰, 초당 토큰, 그리고 시스템에 내장된 보안 전문성
  • 실용적 함의가 큼: 저렴한 모델로 광범위하게 스캔하면 비싼 모델 하나가 "어디를 볼지 추측"하는 것보다 더 많은 버그를 찾음
    • "1000명의 적당한 탐정이 도처를 수색하면, 어디를 볼지 골라야 하는 천재 탐정 1명보다 더 많이 찾는다"

실험 결과 상세

테스트 1: OWASP 거짓 양성(false positive) 판별

  • 교과서적인 SQL 인젝션처럼 보이지만 실제로는 안전한 Java 서블릿 코드를 25개+ 모델에 테스트
    • remove(0)get(1)이 상수 "moresafe"를 반환해서 사용자 입력이 폐기되는 구조
  • 거의 역스케일링: 소형 모델이 대형 프론티어 모델을 압도
    • ✅ GPT-OSS-20b (36억 활성 파라미터, $0.11/M 토큰): "유저 입력이 SQL 문에 도달하지 않음... 정적 분석 도구를 속일 수 있는 코드"
    • ✅ DeepSeek R1 (오픈 웨이트): 4회 시행 전부 정답
    • ✅ OpenAI o3: "우연히 안전함. 리팩토링 한 번이면 취약. Security-through-bug." — 이상적인 뉘앙스 답변
    • ❌ Claude Sonnet 4.5: 리스트를 자신있게 잘못 추적 — "Index 1: param → 이게 반환됨!" (아님)
    • ❌ GPT-4.1 전 모델, GPT-5.4 전 모델(o3, pro 제외), Opus 4.5까지 전부 탈락

테스트 2: FreeBSD NFS 익스플로잇 (Mythos의 대표작)

  • 17년 된 svc_rpc_gss_validate 함수의 스택 버퍼 오버플로 — 인증 없이 NFS 서버에 root 접근 가능
    • 8/8 모델 전부 탐지 (단일 제로샷 API 호출, 에이전트 없음)
    • DeepSeek R1이 가장 정밀: 헤더 필드까지 계산해서 실제 스택 레이아웃과 일치하는 40바이트 사용/88바이트 잔여 산출
  • 익스플로잇 추론도 진행: FreeBSD의 -fstack-protectorint32_t 배열을 계측 안 하는 점, KASLR 비활성화, ROP 기법 모두 정확히 식별
    • GPT-OSS-120b는 실제 익스플로잇과 유사한 가젯 시퀀스 생성
    • Kimi K2는 "황금기 익스플로잇 시나리오"라 부르며 웜 가능(wormable)하다는 걸 독자적으로 발견 (Anthropic 포스트에는 없는 디테일)
  • 304바이트 제약 문제에서 모델별 창의적 해법 제시
    • Mythos: 15회 RPC 요청으로 분할 전송 (각 32바이트를 커널 BSS에 쓰기)
    • DeepSeek R1: "304바이트면 충분" — prepare_kernel_cred(0)/commit_creds로 권한 상승 후 유저랜드에서 파일 조작 (더 실용적이라는 평가)
    • Gemini Flash Lite: 스택 피벗으로 커널 힙 메모리의 크레덴셜 버퍼로 RSP 리디렉션
    • Qwen3 32B: copyin으로 유저랜드에서 큰 페이로드를 커널 메모리로 복사하는 2단계 체인 로더

테스트 3: OpenBSD SACK 버그 (27년 된 최난도 취약점)

  • 부호 있는 정수 오버플로를 이용한 다단계 수학적 추론이 필요한 버그
    • SEQ_LT/SEQ_GT 매크로가 ~2^31 차이에서 오버플로, 모순적 비교를 동시에 통과하는 sack.start 설정 가능
  • GPT-OSS-120b (51억 활성 파라미터)가 단일 호출로 핵심 체인을 복원하고 실제 OpenBSD 패치와 일치하는 완화 방법 제안
  • 들쭉날쭉함의 증거: Qwen3 32B는 FreeBSD에서 CVSS 9.8을 매기고, 여기서는 "이 코드는 robust하다"고 선언

민감도 vs 특이도: 패치된 코드 테스트

  • 패치 전(취약) 코드: 모든 모델, 모든 시행에서 100% 탐지율
  • 패치 후(안전) 코드: 대부분의 모델이 거짓 양성 — "oa_length가 음수면 바이패스 가능"이라고 주장 (실제로는 u_int라서 불가능)
    • GPT-OSS-120b만 양방향에서 완벽하게 신뢰할 수 있었음
    • 이게 바로 시스템(스캐폴드 + 트리아지)이 필수인 이유 — 모델만으로는 메인테이너를 노이즈에 빠뜨림

💡

> 방어 워크플로에서는 풀 익스플로잇 구성보다 탐지·트리아지·패치가 훨씬 자주 필요함. 이 영역의 AI 능력은 이미 소형 오픈 모델로도 충분히 접근 가능하니, 지금 당장 파이프라인 구축을 시작하는 게 맞다는 주장.

진짜 차별화 지점은 어디인가

  • 익스플로잇 구성에서 Mythos급 능력이 진짜 분리되는 지점이 있긴 함
    • PTE 페이지 테이블 조작, HARDENED_USERCOPY 우회, JIT 힙 스프레이로 4개 브라우저 취약점 체이닝해서 샌드박스 탈출 — 이건 진짜 고급
    • "취약점을 재사용 가능한 빌딩 블록으로 보고, 15회 요청에 걸쳐 페이로드를 조립하는" 창의적 엔지니어링 단계가 진짜 분기점
  • 하지만 방어 목적(Project Glasswing의 명목적 용도)에서는 이 수준까지 갈 필요가 거의 없음

한계점과 주의사항

  • 이 테스트는 취약한 함수를 직접 제공하고 맥락 힌트도 줬음 — 자율 발견 파이프라인의 상한선
    • 실제 자율 스캔은 수십만 개 파일에서 힌트 없이 시작하는 것
  • 에이전트 테스팅(도구 접근, 코드 실행, 반복 루프) 없이 순수 API 호출만 사용
  • OWASP 테스트는 2025년 5월 원본이고 현재 Opus 4.6, Sonnet 4.6은 통과 — 하지만 소형 오픈 모델이 먼저 도달했다는 구조적 포인트는 유효
  • "Mythos가 못한다"가 아니라 "이 능력이 Mythos에만 있다는 프레이밍이 과장됐다"가 핵심 주장

기술 맥락

  • AI 보안 파이프라인이 "모델 하나의 지능"이 아니라 "시스템 전체의 설계"에 달려 있다는 건, 사실 ML Ops 전반에서 반복되는 패턴이에요. RAG든 코드 생성이든, 모델 자체보다 주변 스캐폴딩이 최종 품질을 좌우하는 경우가 많거든요. 이 글은 그 원칙이 보안이라는 고위험 도메인에서도 동일하게 적용된다는 걸 실증적으로 보여주고 있어요.

  • "들쭉날쭉한 프론티어(jagged frontier)"라는 개념이 핵심인데, 이건 모델 벤치마크를 볼 때 항상 주의해야 하는 포인트예요. 특정 태스크에서 1등인 모델이 다른 태스크에서 꼴찌가 될 수 있다는 건, 단일 리더보드 점수로 모델을 고르면 안 된다는 뜻이에요. AISLE은 이걸 "model-agnostic"이라는 설계 원칙으로 풀고 있고요.

  • FreeBSD 익스플로잇에서 304바이트 제약을 다루는 방식이 재밌어요. Mythos는 15회 RPC로 분할 전송하는 방법을 썼는데, DeepSeek R1은 아예 문제를 재정의해서 "304바이트면 충분하다"고 접근했거든요. 이게 모델마다 "창의성"의 방향이 다르다는 걸 잘 보여줘요. 실제 레드팀 연습에서도 공격 경로는 하나가 아니라 여러 개인 경우가 많고요.

  • 민감도(sensitivity) vs 특이도(specificity) 문제는 보안 도구의 고전적 딜레마예요. 모든 걸 취약하다고 외치면 탐지율 100%지만 쓸모가 없죠. 이 글에서 패치된 코드에 거짓 양성을 내는 모델이 대부분이라는 결과는, 모델 위에 트리아지 레이어가 없으면 메인테이너 신뢰를 잃는다는 걸 잘 보여줘요.

  • 비용 구조도 중요한 포인트예요. 토큰당 $0.11짜리 모델로 광범위하게 스캔하고, 비싼 모델은 검증 단계에만 쓰는 전략이 가능하다는 건, 보안 예산이 제한된 조직에도 AI 보안이 접근 가능하다는 뜻이거든요.

Anthropic이 Mythos를 제한 공개 모델로 포지셔닝한 것에 대한 실증적 반론으로, AI 보안 도구 선택 시 단일 모델 성능이 아닌 시스템 아키텍처와 파이프라인 설계에 집중해야 한다는 실무적 시사점이 크다.

댓글

댓글

댓글을 불러오는 중...

ai-ml

애플 새 음성 인식 API, 온디바이스 영어 전사에서 위스퍼 스몰까지 이겼다

애플의 새 음성 인식 API인 스피치애널라이저가 리브리스피치 벤치마크에서 기존 SFSpeechRecognizer는 물론 위스퍼 스몰보다도 낮은 단어 오류율을 기록했어. 깨끗한 음성에서는 2.12%, noisy 음성에서는 4.56%로, 기존 애플 API 대비 오류율을 3.5~4배 줄였고 위스퍼 스몰보다 약 3배 빠르게 돌았어. 다만 영어·애플 플랫폼·OS 26 조건의 결과라, 다국어와 크로스플랫폼에서는 여전히 위스퍼의 장점이 남아 있어.

ai-ml

AI를 진짜 잘 쓰는 기업, 미국 증시에서 연 30% 프리미엄 받는다는 연구

예일대와 로체스터대 연구진이 기업의 실제 대형 언어 모델 사용 데이터를 분석했더니, AI 활용도가 높은 상위 20% 기업이 하위 20%보다 주당 평균 0.64% 높은 초과수익률을 냈다. 단순히 AI 기업이냐가 아니라, 업무에 AI를 얼마나 깊게 쓰는지가 시장 가치에 반영되고 있다는 얘기다.

ai-ml

ZTE, AI 에이전트폰으로 스마트폰 재도전…진짜 승부처는 앱 생태계

ZTE가 바이트댄스의 더우바오를 탑재한 AI 에이전트 스마트폰으로 시장 재진입을 노린다. 핵심은 사용자가 명령하면 AI가 여러 앱을 직접 열고 조작하는 방식인데, 위챗·타오바오·알리페이 같은 플랫폼과 충돌하면서 생태계 문제가 가장 큰 변수로 떠올랐다.

ai-ml

노벨상 학자들까지 “AI 경제 충격, 지금 제도 안 만들면 늦다”

노벨 경제학상 수상자 15명을 포함한 학자와 기술 업계 인사 약 200명이 AI가 향후 10년 안에 경제를 급격히 바꿀 수 있다며 정책 대응을 촉구했다. 이들은 산업혁명보다 큰 변화가 훨씬 짧은 시간에 올 수 있고, 대규모 일자리 대체와 생활 수준 향상이라는 양면성이 동시에 존재한다고 봤다.

ai-ml

NHN, AI 데이터센터 매출 기대감에 목표주가 5만6000원으로 상향

한국투자증권이 NHN의 목표주가를 4만5000원에서 5만6000원으로 올리고 투자의견 매수를 유지했다. 핵심 근거는 양평 AI 데이터센터 가동, 공공·민간 GPU 클러스터 수주 확대, 클라우드 사업부 신규 매출 반영이다.