--- title: "오픈AI, AI로 오픈소스 취약점 찾고 패치까지 밀어주는 ‘패치 더 플래닛’ 출범" published: 2026-06-24T00:05:03.470Z canonical: https://jeff.news/article/4309 --- # 오픈AI, AI로 오픈소스 취약점 찾고 패치까지 밀어주는 ‘패치 더 플래닛’ 출범 오픈AI가 핵심 오픈소스 소프트웨어 보안을 지원하는 ‘패치 더 플래닛’을 시작했다. 단순 취약점 탐지에서 끝나는 게 아니라 보안 전문가 검증, 패치 개발, 테스트, 배포까지 이어지는 방어 워크플로우를 만들겠다는 게 핵심이다. - 오픈AI가 전 세계 핵심 오픈소스 소프트웨어를 지키겠다는 보안 프로젝트 ‘패치 더 플래닛(Patch the Planet)’을 시작함 - 오픈AI 보안 연구 이니셔티브 ‘데이브레이크(Daybreak)’의 일부 - 보안 전문 기업 트레일오브비츠(Trail of Bits)와 협력해 진행 - 초기 참여 프로젝트에는 시그스토어, 고, 파이썬 등이 포함됨 - 핵심은 “AI가 취약점 찾았습니다”에서 끝내지 않는다는 점임 - 최신 AI 모델로 취약점을 찾고 - 보안 엔지니어가 실제 위험 여부를 검증하고 - 패치와 테스트 개발까지 지원하는 구조 - 오픈AI는 취약점 발견, 검증, 심각도 평가, 공개, 패치 개발, 테스트, 배포까지 전체 방어 과정을 돕겠다고 밝힘 ```mermaid sequenceDiagram participant 오픈소스프로젝트 as 오픈소스 프로젝트 participant 오픈AI모델 as 오픈AI 보안 모델 participant 보안전문가 as 보안 전문가 participant 유지보수자 as 유지보수자 오픈소스프로젝트->>오픈AI모델: 코드와 이슈 분석 요청 오픈AI모델->>보안전문가: 의심 취약점과 패치 후보 제안 보안전문가->>보안전문가: 재현, 중복 제거, 심각도 검증 보안전문가->>유지보수자: 검증된 패치와 테스트 전달 유지보수자->>오픈소스프로젝트: 패치 병합과 배포 ``` - 이 프로젝트가 필요한 이유는 요즘 보안 생태계의 병목이 바뀌었기 때문임 - AI 덕분에 취약점 탐지 속도는 빨라졌음 - 그런데 오픈소스 유지보수자는 쏟아지는 보안 보고서를 검토하고 패치할 시간과 인력이 부족함 - 결국 “많이 찾는 도구”보다 “고칠 수 있게 정리해주는 체계”가 더 중요해진 상황 - 참여 프로젝트에는 꽤 실질적인 지원이 들어감 - 챗GPT 프로 접근 권한 - 보안 특화 코딩 도구인 코덱스 시큐리티 접근 권한 - API 크레딧 - 트레일오브비츠가 만든 취약점 분류, 중복 제거, 패치 생성 워크플로우 > [!IMPORTANT] > 트레일오브비츠 연구진은 GPT-5.5-사이버와 코덱스를 활용해 19개 오픈소스 프로젝트를 분석했고, 수백 건의 보안 이슈를 발견하고 수십 건의 패치를 적용했다고 밝힘. - 재사용 가능한 보안 인프라도 같이 만들고 있음 - 퍼징 환경 구축 - 과거 CVE 분석 자동화 - 차등 테스트 - 위협 모델링 - 이건 단발성 버그 헌팅이 아니라, 프로젝트가 계속 써먹을 수 있는 방어 체계를 만드는 쪽에 가까움 - 운영체제 쪽 사례는 꽤 살벌함 - 리눅스 커널 3천만 줄 이상의 코드에서 보안 이슈를 분석 - 커널 포인터 정보 유출 개념증명(PoC) 8개 생성 - 로컬 권한 상승(LPE) 공격 코드 24개 생성 - 오픈BSD 커널에서는 23년간 존재했던 취약점을 찾아 일반 사용자가 루트 권한을 얻을 가능성을 확인 - 브라우저 엔진에서도 실제 취약점이 나옴 - 크롬 V8 자바스크립트 엔진에서 악용 가능한 취약점 5건을 발견해 보고 - 그중 3건은 도입 직후 수일 안에 탐지됨 - 사파리 웹킷 엔진에서도 약 일주일 분석으로 10건 이상의 취약점을 찾아냄 - 파이어폭스 사례는 타이밍이 특히 눈에 띔 - GPT-5.5를 활용한 안전성 평가 중 웹어셈블리 취약점 CVE-2026-8390을 발견 - 국제 해킹대회 폰투온 베를린 개최 이틀 전에 패치됨 - 대회 직전에 막은 셈이라, 실제 방어 효과를 보여주는 사례로 볼 수 있음 > [!NOTE] > 오픈AI는 오픈소스 소프트웨어를 “모두가 공유하는 사회적 인프라”라고 표현함. 개발자 입장에선 멋진 말보다, 실제 패치까지 이어지는 지원 구조가 생겼다는 게 더 중요함. --- ## 기술 맥락 - 이번 프로젝트의 기술적 선택은 AI를 취약점 탐지 도구로만 쓰지 않는다는 데 있어요. 취약점 후보를 많이 뽑는 건 이제 점점 쉬워지지만, 그중 진짜 위험한 걸 골라내고 패치 가능한 형태로 만드는 일이 더 큰 병목이거든요. - 그래서 오픈AI는 모델과 보안 전문가를 한 흐름에 묶었어요. 모델이 의심 지점을 찾고 패치 후보를 만들면, 트레일오브비츠 같은 전문가 조직이 재현 가능성, 중복 여부, 심각도, 테스트까지 확인하는 구조예요. - 퍼징, 차등 테스트, 과거 CVE 분석 자동화가 같이 언급된 것도 중요해요. 이건 한 번 취약점을 찾아주는 컨설팅이 아니라, 프로젝트 안에 지속적으로 돌아갈 보안 파이프라인을 심겠다는 의미에 가까워요. - 오픈소스 유지보수자 입장에선 “이슈가 하나 더 늘었다”가 아니라 “검증된 패치와 테스트가 같이 왔다”가 되어야 실제로 병합할 수 있어요. 패치 더 플래닛이 노리는 지점도 바로 그 부분이에요. ## 핵심 포인트 - 오픈AI는 트레일오브비츠와 협력해 오픈소스 보안 프로젝트 ‘패치 더 플래닛’을 출범했다 - 시그스토어, 고, 파이썬 등이 초기 프로젝트에 참여했고 챗GPT 프로, 코덱스 시큐리티, API 크레딧 등을 제공받는다 - 19개 오픈소스 프로젝트 분석에서 수백 건의 보안 이슈와 수십 건의 패치가 나왔다 - 리눅스 커널, 오픈BSD, 크롬 V8, 웹킷, 파이어폭스 웹어셈블리 취약점까지 실제 사례가 공개됐다 ## 인사이트 AI 보안 도구의 진짜 병목은 ‘찾기’가 아니라 ‘검증하고 고치고 배포하기’다. 오픈AI가 이 지점을 공식 프로그램으로 묶은 건 오픈소스 유지보수자 입장에서 꽤 실전적인 접근이다.