앤트로픽 미토스, curl에서 저위험 취약점 1건만 찾아 논란

• 앤트로픽의 보안 AI 모델 미토스(Mithos)를 두고 “생각보다 별거 아닌 거 아냐?”라는 반응이 나왔음

  • 대상은 오픈소스 데이터 전송 툴 curl
  • curl 수석 개발자 다니엘 스텐버그가 외부에서 미토스로 curl을 분석한 결과를 공개함

• 미토스는 curl 코드 17만8000줄을 분석해 보안 취약점 5건을 찾았다고 보고함

  • 그런데 curl 개발자들이 검토해보니 3건은 공식 문서에 이미 적혀 있던 알려진 문제였음
  • 1건은 보안 취약점이 아니라 일반 버그였음
  • 실제 취약점으로 확인된 건 딱 1건뿐

• 스텐버그의 평가는 묘하게 균형적임

  • AI 기반 코드 분석 툴이 전통적인 툴보다 취약점 탐지에 확실히 낫다는 점은 인정함
  • 다만 미토스가 앤트로픽이 묘사한 것처럼 ‘위험한’ 모델이라고 보기는 어렵다고 봄
  • 지금까지 미토스를 둘러싼 과대 선전은 주로 마케팅이었다고도 말함

• 비교 대상이 더 흥미로움

  • 제로패스(Zeropath), 아일(AISLE), 오픈AI 코덱스(Codex) 같은 다른 AI 툴들은 curl에서 200~300건 정도의 문제를 찾았다고 함
  • 그중 확인된 취약점만 수십 건 이상이었다는 설명도 나옴
  • 단순 탐지 개수만 보면 미토스 결과는 꽤 얌전한 편임

• 보안 업계 반응은 갈림

  • 한쪽은 curl이 이미 여러 AI 툴과 감사 과정을 거친 코드베이스라 주요 취약점이 남아있기 어렵다고 봄
  • 즉 미토스가 약하다기보다 curl의 보안 성숙도가 높다는 해석
  • 반대쪽에서는 미토스에 접근한 여러 기관도 curl과 비슷한 결과를 보고했다며 한계를 지적함

• 개발팀 입장에서 진짜 포인트는 “AI가 몇 개 찾았냐”가 아님

  • 보고된 이슈가 실제 보안 취약점인지, 이미 알려진 내용인지, 단순 버그인지 가르는 검증 비용이 핵심
  • 오탐이 많으면 보안팀과 메인테이너가 결국 사람 손으로 다시 다 봐야 함
  • AI 보안 도구 도입은 탐지율뿐 아니라 오탐률, 재현성, 패치 우선순위 산정까지 같이 봐야 함

---

기술 맥락

• 이 기사에서 중요한 선택지는 AI 보안 도구를 신뢰할 때 탐지 개수만 볼 거냐, 실제 검증된 취약점 수를 볼 거냐예요. 미토스는 5건을 보고했지만 최종적으로 취약점은 1건만 남았기 때문에, 숫자보다 검증 품질이 더 중요해졌어요.

• curl 같은 프로젝트는 테스트 케이스로 까다로워요. 워낙 많이 쓰이고 오래 감사받은 코드라 새 취약점이 쉽게 남아있지 않거든요. 그래서 결과가 적게 나왔다고 바로 모델이 약하다고 단정하기도 어렵지만, 과장된 마케팅을 그대로 믿기도 애매해요.

• 오탐은 보안 자동화에서 비용으로 돌아와요. AI가 후보를 던져줘도 메인테이너는 문서에 이미 있는 문제인지, 보안 영향이 있는지, 실제로 악용 가능한지 하나씩 확인해야 하거든요. 그래서 좋은 도구는 많이 찾는 도구가 아니라 검토 가능한 품질로 줄여주는 도구에 가까워요.

• 다른 AI 툴들이 200~300건 문제를 찾았고 확인된 취약점이 수십 건 이상이었다는 비교도 조심해서 봐야 해요. 탐지 범위와 기준이 다르면 결과 수가 확 달라질 수 있거든요. 결국 실무에서는 동일 코드베이스, 동일 기준, 동일 검증 절차로 비교해야 의미가 있어요.