Mythos 1만 건 취약점 발견, 패치 속도가 병목

Anthropic Project Glasswing 한 달 보고서는 Claude Mythos Preview가 취약점 발견 속도보다 패치와 공개 절차를 압박한다고 말합니다.

AI 요약

무슨 일: Anthropic은 Project Glasswing 한 달 동안 Claude Mythos Preview와 약 50개 파트너가 1만 건 이상 high 또는 critical 취약점을 찾았다고 밝혔습니다.
- 같은 업데이트는 open-source 1,000개 이상 프로젝트에서 23,019개 잠재 취약점, 그중 6,202개 high 또는 critical 추정을 별도로 공개했습니다.
병목: Anthropic은 취약점 발견보다 검증, disclosure, patch 속도가 새 제한 조건이라고 설명했습니다.
현장 반응: Cloudflare와 Mozilla는 generic coding agent가 아니라 병렬 harness, 독립 검증, release pipeline이 필요하다고 썼습니다.
주의점: 대부분 세부 취약점은 아직 공개되지 않았고, 수치는 Anthropic과 파트너의 controlled preview 환경에서 나온 초기 집계입니다.

Anthropic은 2026년 5월 22일 Project Glasswing 초기 업데이트를 냈습니다. 발표에 따르면 Claude Mythos Preview와 약 50개 파트너는 한 달 동안 중요 소프트웨어에서 1만 건이 넘는 high 또는 critical 취약점을 찾았습니다. Anthropic의 문장은 모델 출시보다 운영 병목을 앞에 둡니다. 예전 보안 작업은 새 취약점을 얼마나 빨리 찾는지가 제한 조건이었지만, 이제는 AI가 찾아낸 대량의 취약점을 검증하고, 책임 있게 공개하고, 패치하는 속도가 제한 조건이라는 설명입니다.

Project Glasswing은 2026년 4월 공개된 제한 preview입니다. Anthropic은 Frontier Red Team 글에서 Mythos Preview를 일반 API로 열지 않는다고 밝혔습니다. 대신 중요 소프트웨어를 운영하는 파트너와 open-source maintainer에게 먼저 제공합니다. 같은 글은 Mythos Preview가 주요 운영체제와 주요 웹브라우저에서 zero-day를 찾고 exploit을 구성할 수 있으며, FreeBSD NFS 서버의 17년 된 RCE인 CVE-2026-4747을 완전 자율로 발견하고 exploit했다고 설명합니다.

이번 업데이트가 개발팀에 남기는 질문은 "AI가 취약점을 찾을 수 있는가"가 아닙니다. Cloudflare, Mozilla, AISI가 각각 별도 글을 냈고, 세 자료 모두 발견 이후의 절차를 다룹니다. 취약점이 많이 나오면 보안팀은 triage, reproducible proof, duplicate 제거, 영향 범위 추적, release scheduling, advisory 작성, 고객 업데이트까지 처리해야 합니다. 이 단계는 모델 호출만 늘린다고 바로 줄어들지 않습니다.

한 달 만에 커진 숫자

Anthropic은 Glasswing 파트너 대부분이 각자 수백 건의 critical 또는 high severity 취약점을 찾았다고 밝혔습니다. 공식 업데이트에 따르면 Cloudflare는 critical-path systems에서 2,000개 bug를 찾았고, 이 중 400개가 high 또는 critical이었습니다. Anthropic은 Cloudflare 팀이 false positive rate를 human tester보다 낫다고 평가했다고 인용했습니다.

Open-source scan 수치도 따로 제시됐습니다. Anthropic은 지난 몇 달 동안 Mythos Preview로 1,000개 이상 open-source 프로젝트를 scan했고, 총 23,019개 잠재 취약점을 찾았다고 밝혔습니다. 그중 6,202개는 모델이 high 또는 critical로 추정한 항목입니다. 현재 post-triage true-positive rate를 적용하면 추가 발견 없이도 open-source code에서 약 3,900개 high 또는 critical 취약점이 surfaced될 것으로 Anthropic은 예상했습니다.

1만+

Glasswing 파트너 high/critical 발견

23,019

open-source 잠재 취약점 총량

2주

high/critical 1건 평균 패치 시간

Anthropic이 공개한 downstream 지표는 더 좁습니다. 2026년 5월 22일 기준으로 Anthropic은 1,596개 vetted finding을 281개 open-source 프로젝트 maintainer에게 직접 disclose했습니다. 이 중 97개가 patch됐고, 88개가 CVE 또는 GitHub Security Advisory를 받았습니다. Cloud Security Alliance의 2026년 5월 24일 분석 노트도 같은 수치를 인용했습니다. 이 노트는 90일 disclosure window가 아직 모두 끝나지 않았다는 timing effect를 감안하더라도 maintainer capacity gap이 드러난다고 해석했습니다.

Anthropic은 high 또는 critical 버그 하나를 패치하는 평균 시간이 2주라고 썼습니다. 일부 maintainer는 공개 속도를 늦춰 달라고 요청했습니다. 이 숫자는 open-source 보안의 현실을 정면으로 건드립니다. 단일 maintainer가 critical report를 받으면 먼저 재현하고, 영향 범위를 이해하고, root cause를 고치고, regression을 막고, release와 advisory를 준비해야 합니다. 여러 report가 동시에 오면 각 항목의 90일 시계가 따로 돕니다.

Mythos는 exploit까지 묶는 모델로 소개됐습니다

Anthropic의 Frontier Red Team 글은 Mythos Preview를 단순 static analyzer로 묘사하지 않습니다. 글은 Mythos Preview가 FreeBSD NFS server에서 unauthenticated user가 root access를 얻을 수 있는 RCE를 찾았다고 설명합니다. 이 exploit은 20-gadget ROP chain을 여러 packet에 나눠 구성했습니다. 또한 Firefox 147 JavaScript engine 실험에서는 Opus 4.6이 수백 번 시도 중 JavaScript shell exploit 2회를 만들었습니다. 같은 실험을 Mythos Preview로 다시 돌리자 working exploit 181회와 추가 register control 29회를 달성했다고 Anthropic은 밝혔습니다.

Firefox exploit chart .

이 chart는 개발자가 "취약점 report"와 "실제 exploit 가능성"을 구분해야 하는 이유를 보여줍니다. 많은 scanner는 의심 지점을 찾고 멈춥니다. Cloudflare가 2026년 5월 18일 글에서 강조한 차이는 chain construction과 proof generation입니다. Cloudflare는 Mythos Preview가 여러 작은 primitive를 working proof로 묶고, scratch environment에서 code를 compile하고 run하며, 실패하면 가설을 수정한다고 설명했습니다. proof가 있는 finding은 triage queue에서 "이게 실제인가"라는 질문을 줄입니다.

하지만 proof가 곧 자동 patch를 뜻하지는 않습니다. Cloudflare는 모델이 자체 patch를 쓰게 했을 때 원래 bug는 고쳤지만 의존하던 동작을 조용히 깨뜨린 사례를 봤다고 썼습니다. 그래서 Cloudflare가 정리한 결론은 "더 빨리 patch"가 아니라 architecture와 pipeline입니다. regression testing에 하루가 걸리는 시스템에서 2시간 SLA를 맞추려면 testing을 건너뛰게 되고, 그 결과 더 나쁜 버그를 넣을 수 있다는 지적입니다.

Firefox 150의 271개 수정.

Mozilla는 2026년 4월 21일 글에서 Firefox 150이 Claude Mythos Preview 초기 평가에서 확인한 271개 취약점 수정 사항을 포함한다고 밝혔습니다. 같은 글은 Firefox 148에서 Claude Opus 4.6 협업으로 22개 security-sensitive bug를 고쳤던 이전 사례와 비교했습니다. Firefox 팀은 "몇 달 전만 해도 컴퓨터가 완전히 할 수 없던 일을 지금은 잘한다"는 취지로 설명하면서도, 사람이 이해할 수 있는 codebase 구조를 유지하는 일이 중요하다고 덧붙였습니다.

Mozilla Hacks의 2026년 5월 7일 후속 글은 내부 숫자를 더 공개했습니다. Firefox 150의 내부 rollup CVE는 CVE-2026-6784의 154개, CVE-2026-6785의 55개, CVE-2026-6786의 107개 bug로 구성됐습니다. 세 rollup 합계가 316개인데, Mozilla는 271개 발표 숫자와 차이가 나는 이유를 설명했습니다. 2026년 4월 Firefox release 전체로는 423개 security bug가 고쳐졌고, 41개는 외부 report, 나머지 111개는 Mythos Preview 외 pipeline, 다른 model, fuzzing 등에서 나왔습니다.

Mozilla 글에서 실무적으로 볼 부분은 bug 종류입니다. 예시에는 WebAssembly GC struct 초기화가 JIT 최적화로 사라지는 사례와 15년 된 legend element bug가 있습니다. IPC race로 IndexedDB refcount를 조작하는 sandbox escape 후보도 포함됐습니다. XSLT의 20년 된 use-after-free, HTML table의 rowspan=0 semantics를 이용한 16-bit overflow도 공개 예시에 들어갔습니다. 단순 lint나 알려진 pattern matching으로 잡기 어려운 code path가 많았습니다.

Generic coding agent가 아니라 harness입니다

Cloudflare의 글은 "repo에 generic coding agent를 붙이면 되나"라는 질문에 명확히 반대합니다. Cloudflare는 대형 repo를 한 번에 훑는 단일 agent session이 의미 있는 coverage를 만들기 어렵다고 썼습니다. vulnerability research는 한 가지 feature, trust boundary, vulnerability class를 좁게 파고드는 일을 수천 번 반복하는 형태인데, 일반 coding agent는 한 흐름의 feature 구현이나 bug fix에 맞춰져 있습니다.

Cloudflare가 설명한 harness는 여러 단계입니다. Recon agent가 build command, trust boundary, entry point, attack surface를 정리합니다. Hunter는 공격 class와 scope hint를 받아 병렬로 실행됩니다. Validate agent는 원 finding을 반박하려고 다시 읽습니다. Gapfill은 덜 본 영역을 다시 queue에 넣습니다. Dedupe는 root cause가 같은 finding을 합칩니다. Trace는 shared library의 confirmed finding이 실제 외부 attacker input에서 reachable한지 consumer repository별로 추적합니다. 마지막 Report 단계는 free-form prose가 아니라 schema에 맞는 report를 ingest API로 제출합니다.

이 구조는 AI coding workflow에도 직접 닿습니다. 에이전트가 "코드를 고쳐 주세요"라는 단일 요청으로 큰 repo를 움직이는 방식은 데모에는 맞지만, 보안이나 migration처럼 coverage가 필요한 업무에는 부족합니다. 작업을 작은 scope로 쪼개고, 독립 검증 agent를 두고, dedupe와 reachability trace를 붙이고, output schema를 강제해야 운영 queue가 감당됩니다.

AISI가 본 cyber autonomy.

영국 AI Security Institute는 2026년 5월 13일 글에서 frontier model의 cyber task time horizon이 몇 달 단위로 두 배가 됐다고 보고했습니다. AISI는 2026년 2월 내부 추정에서 late 2024 이후 4.7개월 doubling을 봤습니다. 이후 Claude Mythos Preview와 GPT-5.5가 그 trend를 크게 넘었다고 설명했습니다.

AISI의 cyber range 결과도 Anthropic 발표와 맞물립니다. 최신 Mythos Preview checkpoint는 "The Last Ones"를 10회 중 6회, 이전에 풀리지 않았던 "Cooling Tower"를 10회 중 3회 해결했습니다. AISI는 이 checkpoint가 두 cyber range를 모두 완료한 첫 모델이라고 썼습니다. 다만 AISI는 benchmark가 real-world defended system을 그대로 대표하지 않고, time horizon 추정에도 긴 task sample이 적다는 한계를 분명히 적었습니다.

이 한계가 중요합니다. Anthropic과 파트너의 수치가 크더라도 실제 기업 방어에서는 network segmentation, WAF, sandbox, patch management, asset inventory, incident response가 함께 작동합니다. 모델이 lab range를 푸는 능력과 production 환경에서 공격자가 곧바로 성공하는 능력은 같은 값이 아닙니다. 반대로 defender도 같은 모델과 harness를 쓸 수 있다면 latent bug를 먼저 찾아 줄이는 이점이 생깁니다.

공개하지 않는 모델과 공개해야 하는 취약점

Project Glasswing의 긴장은 여기서 생깁니다. Anthropic은 Mythos-class model을 일반 공개하지 않는 이유로 misuse risk를 들었습니다. 동시에 Anthropic은 모델이 찾은 취약점을 maintainer에게 disclose해야 합니다. 모델은 닫혀 있지만, 취약점 공개 절차는 90일 window, patch release, CVE, advisory, 사용자 update에 묶입니다.

Anthropic은 자신의 coordinated vulnerability disclosure 정책을 따르며, 새 취약점은 발견 후 90일 또는 patch가 만들어진 뒤 약 45일 후 공개하는 관행을 언급했습니다. 문제는 AI가 finding volume을 늘리면 이 관행이 lagging indicator가 된다는 점입니다. 세부 취약점을 공개하기 전까지 외부인은 숫자와 일부 예시만 봅니다. maintainer는 patch를 준비하지만, 사용자와 downstream vendor는 상세 내용을 기다립니다. 공개가 늦으면 검증은 어렵고, 공개가 빠르면 아직 업데이트하지 않은 사용자가 위험해집니다.

Reddit와 보안 커뮤니티의 반응도 이 지점을 건드립니다. 일부 사용자는 1만 건이라는 headline보다 "그 뒤에 누가 patch하나"를 물었습니다. 다른 반응은 true-positive rate, severity 분류, Anthropic의 PR 동기, restricted preview의 접근성 문제를 의심했습니다. 이 회의론은 숫자를 무시하자는 뜻이 아닙니다. AI-generated bug report가 이미 maintainer 시간을 소모해 왔기 때문에, 대량 finding은 proof, dedupe, disclosure status, patch status와 함께 읽어야 한다는 요구입니다.

개발팀이 지금 점검할 항목

첫째, 취약점 탐지 agent를 chat interface로만 설계하면 안 됩니다. Cloudflare와 Mozilla 사례에서 공통으로 나온 것은 harness입니다. build 가능한 scratch environment, 재현 test, 독립 검증, duplicate collapse, reachability analysis, structured report가 함께 있어야 bug queue가 줄어듭니다.

둘째, patch throughput을 별도로 측정해야 합니다. 발견 수는 dashboard에 올리기 쉽지만, 실제 위험 감소는 vetted finding 중 patch 완료, release 배포, advisory 공개, downstream adoption까지 봐야 합니다. Anthropic 수치에서도 1,596개 vetted finding 중 patch는 97개였습니다. 날짜상 90일 window가 진행 중이라는 점을 감안해도, discovery와 remediation 사이에는 큰 queue가 있습니다.

셋째, AI가 만든 patch를 바로 merge하지 말아야 합니다. Cloudflare의 사례처럼 원래 bug를 고치면서 다른 동작을 깨뜨릴 수 있습니다. 보안 patch는 unit test보다 더 넓은 regression surface를 가집니다. browser, kernel, crypto library, distributed control plane에서는 test coverage 밖의 invariant가 많습니다.

넷째, AI가 더 많이 만든 code도 같은 관점으로 봐야 합니다. Mozilla는 codebase가 human-comprehensible해야 한다고 적었습니다. AI가 생성한 code가 늘면 latent bug의 복잡도도 같이 커질 수 있습니다. 취약점 탐지 모델이 강해지는 속도만 믿고, 사람이 이해하기 어려운 architecture를 방치하면 patch 단계에서 다시 막힙니다.

Project Glasswing의 첫 달 보고서는 AI 보안 경쟁을 "누가 더 많은 zero-day를 찾나"로만 읽기 어렵게 만듭니다. 숫자는 이미 큽니다. 1만 건 이상 partner finding, 23,019개 open-source 잠재 finding, Firefox 150의 271개 수정, Cloudflare의 2,000개 bug가 한 달 단위 기사에 들어왔습니다. 개발팀이 봐야 할 다음 수치는 발견량이 아니라 검증 대기열, patch 평균 시간, release 도달률, stale deployment 비율입니다. Mythos Preview가 던진 질문은 모델 공개 여부만이 아니라, AI가 만든 취약점 발견 속도를 사람이 운영하는 보안 절차가 따라갈 수 있는가입니다.

출처

Anthropic, Project Glasswing: An initial update.
Anthropic Frontier Red Team, Claude Mythos Preview.
Cloudflare, Project Glasswing: what Mythos showed us.
Mozilla, The zero-days are numbered.
Mozilla Hacks, Behind the Scenes Hardening Firefox with Claude Mythos Preview.
UK AISI, How fast is autonomous AI cyber capability advancing?.
Cloud Security Alliance, AI Vulnerability Discovery Velocity and the Disclosure Crisis.