클라우드플레어, 미토스를 내부 레포지토리에 투입해 테스트

[보안뉴스 김형근 기자] 앤트로픽의 AI 모델 ‘미토스’가 단순 보안 결함 발견을 넘어, 실제 해킹 공격이 가능한 검증 코드를 스스로 작성하는 단계에 도달했다.

클라우드플레어는 앤트로픽의 미토스 프리뷰 접근 프로그램 ‘프로젝트 글래스윙’에 참여, 미토스를 50여개 내부 프로그램 저장소에 투입해 실전 테스트한 결과 이 같은 사실을 확인했다고 밝혔다.

기존 생성형 AI 모델들은 단일 보안 결함을 찾아내고 설명하는 수준에 그쳤다. 그러나 미토스는 AI가 취약점 발견과 실제 해킹 무기 제작 사이 간극을 완전히 메웠다는 점에서 차별화된다는 설명이다.

이 모델은 위험도가 낮은 미미한 결함 여러 개를 차례로 연결해 강력한 해킹 수단으로 발전시키는 능력을 보였다.

또 보안 허점을 유도하는 코드를 작성해 가상 공간에서 실행하고, 오류가 발생하면 가설을 수정해 가며 성공할 때까지 반복 조율하는 증명 기능까지 갖췄다.

다만 가짜 경고를 남발하는 문제는 여전하며, 구조적으로 보안이 허술한 C 및 C++ 기반 프로그램에서 러스트(Rust) 같은 안전한 언어보다 더 많은 무의미한 경고를 만들어냈다.

클라우드플레어는 AI 에이전트를 소프트웨어 저장소에 직접 연결하면 취약점 분석 결과가 좋지 않다는 사실을 발견했다. 이를 해결하기 위해 분석 범위를 제한하고 독립된 두 인공지능이 서로 허점을 감시하게 만드는 방식을 제안했다. 이를 통해 AI가 잘못된 오류 보고를 남발하는 것을 막을 수 있다는 설명이다.

미토스는 해킹 코드 작성을 요구하는 프롬프트 공격에 넘어가는 모습도 보였다. 미토스는 해킹 시연 코드를 짜달라는 연구원들의 요구에 처음엔 거부 반응을 보였다. 그러나 질문하는 대화 방식을 조금만 바꾸자 해킹 코드를 그대로 만들어주는 허점을 노출했다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>