본문으로 건너뛰기
J
피드

오픈AI, AI로 오픈소스 취약점 찾고 패치까지 밀어주는 ‘패치 더 플래닛’ 출범

security 약 6분
tags
#open-source#vulnerability#codex#fuzzing#cve
vote
0
댓글
북마크

오픈AI가 핵심 오픈소스 소프트웨어 보안을 지원하는 ‘패치 더 플래닛’을 시작했다. 단순 취약점 탐지에서 끝나는 게 아니라 보안 전문가 검증, 패치 개발, 테스트, 배포까지 이어지는 방어 워크플로우를 만들겠다는 게 핵심이다.

  • 1

    오픈AI는 트레일오브비츠와 협력해 오픈소스 보안 프로젝트 ‘패치 더 플래닛’을 출범했다

  • 2

    시그스토어, 고, 파이썬 등이 초기 프로젝트에 참여했고 챗GPT 프로, 코덱스 시큐리티, API 크레딧 등을 제공받는다

  • 3

    19개 오픈소스 프로젝트 분석에서 수백 건의 보안 이슈와 수십 건의 패치가 나왔다

  • 4

    리눅스 커널, 오픈BSD, 크롬 V8, 웹킷, 파이어폭스 웹어셈블리 취약점까지 실제 사례가 공개됐다

  • 오픈AI가 전 세계 핵심 오픈소스 소프트웨어를 지키겠다는 보안 프로젝트 ‘패치 더 플래닛(Patch the Planet)’을 시작함

    • 오픈AI 보안 연구 이니셔티브 ‘데이브레이크(Daybreak)’의 일부
    • 보안 전문 기업 트레일오브비츠(Trail of Bits)와 협력해 진행
    • 초기 참여 프로젝트에는 시그스토어, 고, 파이썬 등이 포함됨

  • 핵심은 “AI가 취약점 찾았습니다”에서 끝내지 않는다는 점임

    • 최신 AI 모델로 취약점을 찾고
    • 보안 엔지니어가 실제 위험 여부를 검증하고
    • 패치와 테스트 개발까지 지원하는 구조
    • 오픈AI는 취약점 발견, 검증, 심각도 평가, 공개, 패치 개발, 테스트, 배포까지 전체 방어 과정을 돕겠다고 밝힘
sequenceDiagram
    participant 오픈소스프로젝트 as 오픈소스 프로젝트
    participant 오픈AI모델 as 오픈AI 보안 모델
    participant 보안전문가 as 보안 전문가
    participant 유지보수자 as 유지보수자
    오픈소스프로젝트->>오픈AI모델: 코드와 이슈 분석 요청
    오픈AI모델->>보안전문가: 의심 취약점과 패치 후보 제안
    보안전문가->>보안전문가: 재현, 중복 제거, 심각도 검증
    보안전문가->>유지보수자: 검증된 패치와 테스트 전달
    유지보수자->>오픈소스프로젝트: 패치 병합과 배포

  • 이 프로젝트가 필요한 이유는 요즘 보안 생태계의 병목이 바뀌었기 때문임

    • AI 덕분에 취약점 탐지 속도는 빨라졌음
    • 그런데 오픈소스 유지보수자는 쏟아지는 보안 보고서를 검토하고 패치할 시간과 인력이 부족함
    • 결국 “많이 찾는 도구”보다 “고칠 수 있게 정리해주는 체계”가 더 중요해진 상황

  • 참여 프로젝트에는 꽤 실질적인 지원이 들어감

    • 챗GPT 프로 접근 권한
    • 보안 특화 코딩 도구인 코덱스 시큐리티 접근 권한
    • API 크레딧
    • 트레일오브비츠가 만든 취약점 분류, 중복 제거, 패치 생성 워크플로우

중요

> 트레일오브비츠 연구진은 GPT-5.5-사이버와 코덱스를 활용해 19개 오픈소스 프로젝트를 분석했고, 수백 건의 보안 이슈를 발견하고 수십 건의 패치를 적용했다고 밝힘.

  • 재사용 가능한 보안 인프라도 같이 만들고 있음

    • 퍼징 환경 구축
    • 과거 CVE 분석 자동화
    • 차등 테스트
    • 위협 모델링
    • 이건 단발성 버그 헌팅이 아니라, 프로젝트가 계속 써먹을 수 있는 방어 체계를 만드는 쪽에 가까움

  • 운영체제 쪽 사례는 꽤 살벌함

    • 리눅스 커널 3천만 줄 이상의 코드에서 보안 이슈를 분석
    • 커널 포인터 정보 유출 개념증명(PoC) 8개 생성
    • 로컬 권한 상승(LPE) 공격 코드 24개 생성
    • 오픈BSD 커널에서는 23년간 존재했던 취약점을 찾아 일반 사용자가 루트 권한을 얻을 가능성을 확인

  • 브라우저 엔진에서도 실제 취약점이 나옴

    • 크롬 V8 자바스크립트 엔진에서 악용 가능한 취약점 5건을 발견해 보고
    • 그중 3건은 도입 직후 수일 안에 탐지됨
    • 사파리 웹킷 엔진에서도 약 일주일 분석으로 10건 이상의 취약점을 찾아냄

  • 파이어폭스 사례는 타이밍이 특히 눈에 띔

    • GPT-5.5를 활용한 안전성 평가 중 웹어셈블리 취약점 CVE-2026-8390을 발견
    • 국제 해킹대회 폰투온 베를린 개최 이틀 전에 패치됨
    • 대회 직전에 막은 셈이라, 실제 방어 효과를 보여주는 사례로 볼 수 있음

ℹ️참고

> 오픈AI는 오픈소스 소프트웨어를 “모두가 공유하는 사회적 인프라”라고 표현함. 개발자 입장에선 멋진 말보다, 실제 패치까지 이어지는 지원 구조가 생겼다는 게 더 중요함.

기술 맥락

  • 이번 프로젝트의 기술적 선택은 AI를 취약점 탐지 도구로만 쓰지 않는다는 데 있어요. 취약점 후보를 많이 뽑는 건 이제 점점 쉬워지지만, 그중 진짜 위험한 걸 골라내고 패치 가능한 형태로 만드는 일이 더 큰 병목이거든요.

  • 그래서 오픈AI는 모델과 보안 전문가를 한 흐름에 묶었어요. 모델이 의심 지점을 찾고 패치 후보를 만들면, 트레일오브비츠 같은 전문가 조직이 재현 가능성, 중복 여부, 심각도, 테스트까지 확인하는 구조예요.

  • 퍼징, 차등 테스트, 과거 CVE 분석 자동화가 같이 언급된 것도 중요해요. 이건 한 번 취약점을 찾아주는 컨설팅이 아니라, 프로젝트 안에 지속적으로 돌아갈 보안 파이프라인을 심겠다는 의미에 가까워요.

  • 오픈소스 유지보수자 입장에선 “이슈가 하나 더 늘었다”가 아니라 “검증된 패치와 테스트가 같이 왔다”가 되어야 실제로 병합할 수 있어요. 패치 더 플래닛이 노리는 지점도 바로 그 부분이에요.

AI 보안 도구의 진짜 병목은 ‘찾기’가 아니라 ‘검증하고 고치고 배포하기’다. 오픈AI가 이 지점을 공식 프로그램으로 묶은 건 오픈소스 유지보수자 입장에서 꽤 실전적인 접근이다.

prev

이전 기사 (P)

next

다음 기사 (N)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

오픈AI, 취약점 찾기부터 패치까지 돕는 ‘코덱스 시큐리티’ 공개

오픈AI가 사이버보안 이니셔티브 데이브레이크를 확대하면서 보안 전용 도구 코덱스 시큐리티와 GPT-5.5-사이버를 공개했다. 목표는 취약점 탐지에서 끝나는 게 아니라 검증, 위험도 평가, 패치 개발, 테스트, 배포까지 AI로 지원하는 것이다. cURL, Go, Python, Sigstore 등 30개 이상 오픈소스 프로젝트도 패치 지원 프로그램에 참여한다.

security

정부, 공공 SW 납품에 SBOM 단계 적용…취약점 방치하면 조달 제한까지

과기정통부와 국정원이 공공 소프트웨어 공급망 보안 로드맵을 발표했다. 내년부터 공공 정보화사업과 보안 검증 절차에 SBOM 제출과 취약점 대응 절차를 단계적으로 반영하고, 2028년부터는 외교·안보·국방 분야 제품 납품 체크리스트를 우선 적용한다.

security

LG전자 오픈소스 도구 ‘포스라이트’, 프로젝트별 취약점·SBOM 관리까지 지원

LG전자가 공개한 오픈소스 관리 시스템 ‘포스라이트’가 공급망 보안 도구로 소개됐다. 오픈소스 이름·버전·라이선스뿐 아니라 전이적 종속성, 취약점 변경 알림, 타사 SBOM 관리까지 한 흐름에서 다룰 수 있다는 내용이다.

security

정부, AI 공격 시대 대비한 소프트웨어 공급망 보안 로드맵 공개

과기정통부와 국정원이 AI 일상화 시대를 겨냥한 소프트웨어 공급망 보안 로드맵을 마련했다. SBOM 기반 관리, 개발 단계 보안 내재화, AI 기반 방어체계, 버그바운티와 취약점 공개 제도 확대까지 공급망 공격 대응을 제도화하려는 내용이다.

security

F5, AI·API·하이브리드 클라우드를 한 보안 플랫폼으로 묶겠다는 30주년 비전 공개

F5가 창립 30주년을 맞아 애플리케이션 전송 및 보안 플랫폼(ADSP) 전략을 공개했어. 하이브리드 멀티클라우드가 기본 운영 모델이 되고, AI 워크로드와 API가 늘어나면서 WAF, AI 가드레일, 데이터 주권 대응을 하나의 체계로 묶겠다는 방향이야.