--- title: "Anthropic, 새 AI 공개 대신 보안 동맹 결성, 27년 된 취약점 찾아낸 Mythos Preview" date: 2026-04-08 author: "Spark" featured_image: "https://i0.wp.com/aisparkup.com/wp-content/uploads/2026/04/image-9-scaled.png?fit=2560%2C1440&ssl=1" categories: - name: "AI 트렌드 분석" url: "/posts/category/ai-news.md" tags: - name: "AI보안" url: "/posts/tag/ai%eb%b3%b4%ec%95%88.md" - name: "Anthropic" url: "/posts/tag/anthropic.md" - name: "Claude Mythos" url: "/posts/tag/claude-mythos.md" - name: "Project Glasswing" url: "/posts/tag/project-glasswing.md" - name: "사이버보안" url: "/posts/tag/%ec%82%ac%ec%9d%b4%eb%b2%84%eb%b3%b4%ec%95%88.md" - name: "제로데이취약점" url: "/posts/tag/%ec%a0%9c%eb%a1%9c%eb%8d%b0%ec%9d%b4%ec%b7%a8%ec%95%bd%ec%a0%90.md" - name: "취약점발견" url: "/posts/tag/%ec%b7%a8%ec%95%bd%ec%a0%90%eb%b0%9c%ea%b2%ac.md" --- # Anthropic, 새 AI 공개 대신 보안 동맹 결성, 27년 된 취약점 찾아낸 Mythos Preview 오늘 Anthropic은 새 모델을 공개했지만, 누구도 쓸 수 없습니다. AI 기업이 자사 최신 모델을 일반에 배포하지 않기로 한 이유는 단 하나, 너무 강력하기 때문입니다. ![](https://i0.wp.com/aisparkup.com/wp-content/uploads/2026/04/image-9.png?resize=1024%2C576&ssl=1)사진 출처: Anthropic Frontier Red Team BlogAnthropic이 4월 7일 Claude Mythos Preview와 Project Glasswing을 동시에 발표했습니다. Mythos Preview는 아직 공개되지 않은 최신 범용 모델로, 사이버 보안 분야에서 특출난 능력을 보여줍니다. 핵심은 이 모델이 모든 주요 운영체제와 웹 브라우저에서 수천 건의 제로데이 취약점을 자율적으로 발견했다는 점입니다. Project Glasswing은 이 능력을 공격이 아닌 방어에 먼저 활용하기 위해 AWS, Apple, Microsoft, Google 등과 결성한 산업 협력체입니다. **출처:** [Project Glasswing: Securing critical software for the AI era](https://www.anthropic.com/glasswing) – Anthropic **참고:** [Assessing Claude Mythos Preview’s cybersecurity capabilities](https://red.anthropic.com/2026/mythos-preview/) – Anthropic Frontier Red Team ## “처음 요청한 뒤 아침에 일어나면 완성된 익스플로잇이 있었습니다” Anthropic 내부 보안 교육을 받지 않은 엔지니어가 Mythos Preview에게 “밤새 원격 코드 실행 취약점을 찾아달라”고 지시하고 다음 날 아침 완성된 익스플로잇을 받았다고 합니다. 이것이 이번 발표의 핵심입니다. Anthropic의 Frontier Red Team이 공개한 기술 분석에는 구체적인 사례가 담겨 있습니다. - **OpenBSD 27년 된 버그**: Mythos Preview는 보안성으로 유명한 운영체제 OpenBSD에서 TCP SACK 처리의 취약점을 발견했습니다. 공격자가 원격에서 단 몇 개의 패킷만으로 해당 서버를 다운시킬 수 있는 버그로, 1998년 코드 도입 이후 수십 년간 발견되지 않았습니다. - **FFmpeg 16년 된 버그**: 거의 모든 동영상 서비스가 사용하는 미디어 라이브러리 FFmpeg의 H.264 코덱에서 슬라이스 카운터 관련 버그를 발견했습니다. 수백만 번의 자동화 테스트도 이 버그를 잡아내지 못했습니다. - **FreeBSD 원격 코드 실행**: NFS 서버에서 17년 된 취약점을 발견하고, 인증 없이 원격에서 완전한 루트 권한을 얻는 익스플로잇을 자율적으로 완성했습니다. 전체 작업에 사람이 개입한 순간은 초기 요청 한 번뿐이었습니다. ## Opus 4.6과의 결정적 차이 지난달까지만 해도 Opus 4.6은 취약점을 찾는 능력은 있지만 익스플로잇을 만드는 데는 거의 성공하지 못했습니다. 수백 번의 시도에서 성공률은 사실상 0%에 가까웠습니다. Mythos Preview는 다릅니다. 같은 Firefox 147 JavaScript 엔진 취약점 실험에서 Opus 4.6이 수백 번 시도 끝에 겨우 2번 성공하는 동안, Mythos Preview는 181번 완성된 익스플로잇을 만들었습니다. 단순히 더 잘하는 게 아니라, 작동 방식이 다른 수준입니다. 더 복잡한 공격도 가능합니다. Mythos Preview는 여러 개의 취약점을 연쇄적으로 활용하는 능력을 보여줬습니다. Linux 커널에서는 KASLR 우회, 힙 읽기, 힙 쓰기, 힙 스프레이를 차례로 연결해 일반 사용자 권한에서 루트로 권한을 상승시키는 익스플로잇 체인을 자율적으로 구성했습니다. 이런 작업은 숙련된 보안 연구자도 며칠에서 몇 주가 걸리는 일입니다. 이 능력은 별도로 훈련된 게 아닙니다. 코딩·추론·자율성의 전반적 향상이 사이버 보안 능력으로 자연스럽게 이어진 결과입니다. ## AI 보안 리포트의 질이 갑자기 달라졌다 이번 발표가 유독 주목받는 이유는 Anthropic만의 이야기가 아니기 때문입니다. Linux 커널 메인테이너 Greg Kroah-Hartman은 최근 “한 달 전부터 무언가 바뀌었다. 이제 AI가 보낸 보안 리포트가 진짜다, 그리고 수준이 높다”고 말했습니다. curl 개발자 Daniel Stenberg도 “AI 슬롭(쓸모없는 AI 생성물) 폭풍은 지나갔고, 이제는 진짜 리포트가 쏟아진다. 하루에 몇 시간씩 대응하고 있다”고 했습니다. 오픈소스 핵심 프로젝트 관리자들이 현장에서 체감하는 변화입니다. Mythos Preview는 이 변화의 최전선에 있는 모델입니다. ## 왜 공개하지 않고 동맹을 결성했나 Anthropic은 Mythos Preview를 일반에 배포하지 않기로 결정했습니다. 대신 AWS, Apple, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA, Palo Alto Networks와 함께 Project Glasswing을 출범했습니다. 아이디어는 간단합니다. 이런 능력이 이미 존재한다면, 공격자보다 방어자가 먼저 써야 한다는 것입니다. 40개 이상의 핵심 소프트웨어 인프라 유지 조직에도 접근권을 부여했고, 오픈소스 보안 단체에는 $4M을 직접 기부했습니다. Anthropic은 Mythos Preview 사용 크레딧으로 $100M을 지원합니다. 방어자와 공격자 사이의 균형에 대해서는 Anthropic도 낙관적이지만은 않습니다. 새로운 균형점이 형성되기까지의 전환기가 험난할 수 있다고 인정합니다. 소프트웨어 퍼지 테스터가 처음 등장했을 때와 비슷한 상황입니다. 초기에는 공격자와 방어자 모두가 활용했지만, 장기적으로는 방어 생태계의 핵심 도구가 되었습니다. Mythos Preview도 결국 같은 경로를 밟을 것으로 Anthropic은 예상합니다. Red Team 블로그에는 Linux 커널 익스플로잇 체인의 기술적 세부사항, N-day 취약점 익스플로잇 사례, 암호화 라이브러리의 로직 버그 등 상세 내용이 더 담겨 있습니다. **참고자료:** [Anthropic’s Project Glasswing](https://simonwillison.net/2026/Apr/7/project-glasswing/) – Simon Willison [ 1 Like?](https://aisparkup.com/wp-admin/admin-ajax.php?action=oacs_spl_process_like&post_id=10949&nonce=914cdcb731&is_comment=0&disabled=true "Like")