무슨 일이 있었나
2026년 5월 22일, Anthropic은 Project Glasswing의 초기 업데이트를 발표했고, Claude Mythos Preview가 널리 사용되는 소프트웨어에서 심각도가 높거나 긴급 수준의 취약점 10,000개 이상을 자율적으로 발견했으며, 281개의 오픈소스 프로젝트에서 유지보수자에게 1,596개를 공개했다는 내용을 담은 공개 조율된 취약점 공개(CVD) 대시보드를 론칭했다. 이는 Trail of Bits, ADA Logics, Calif.io 등 외부 보안 연구 회사에서 확인한 90.8% 참양성률이다. 공개된 결과 중 97개는 패치되었고 88개는 CVE 또는 GHSA 식별자가 할당되었으며, 주목할 만한 CVE로는 17년 된 FreeBSD RCE(CVE-2026-4747)와 Mozilla와의 협력으로 발견된 Firefox 취약점들이 있다. 이 모델은 Anthropic이 재앙적 무기화 위험을 이유로 공개 출시를 영구적으로 보류하고 있으며, AWS, Apple, Google, Microsoft, Cisco, NVIDIA, CrowdStrike, JPMorgan Chase 등 약 50개의 파트너 조직에 제한된 접근으로 게이트되어 있다.
왜 중요한가
이는 외부 회사에서 검증한 참양성률을 문서화한 첫 번째 벤더 발행물로, AI 기반 자율 취약점 발견을 대규모로 보여준다. 이는 공격 및 방어 취약점 연구의 경제성을 근본적으로 변화시킨다. 병목 현상은 취약점 발견에서 인간 속도의 패치 분류 및 조율로 이동했다 — Cloudflare의 Mythos 분석에 따르면 이는 자율적으로 멀티 버그 익스플로잇 체인을 구성하며, 유지보수자들은 패치 용량이 새로운 제약이 되었기 때문에 Anthropic에 공개를 늦춰달라고 요청했다. 90일 공개 기간이 마감되기 시작하면서 보안 팀은 이제 기초 OSS(브라우저, TLS 라이브러리, 커널)에서의 버스트율 패치 드롭에 대비해야 한다.
적용 범위
AI 인프라 또는 일반 사용을 위해 오픈소스 소프트웨어에 의존하는 모든 조직은 Firefox, wolfSSL, nginx, FreeBSD, libyang, mastodon, freerdp의 패치 주기 모니터링을 증대해야 한다. 취약점 발견을 위해 최첨단 AI를 평가하는 보안 팀은 Glasswing의 90.8% TPR을 유사한 자체 프로그램의 기준 벤치마크로 취급해야 한다. CISO는 패치 윈도우 압축 — CVE 공개에서 작동하는 익스플로잇까지 — 이 이제 주 단위가 아닌 시간 단위로 측정된다는 점을 이사회에 보고해야 한다.