Mozilla, AI로 Firefox 보안 취약점 대량 발견
원제: Mozilla: Behind the Scenes Hardening Firefox
왜 중요한가
AI를 통한 대규모 보안 취약점 발견으로 소프트웨어 보안 강화의 새로운 패러다임을 제시했다.
Mozilla가 Claude Mythos Preview 등 AI 모델을 활용해 Firefox에서 전례없는 수의 잠재적 보안 버그를 발견하고 수정했다고 발표했다. 15년~20년 된 오래된 버그부터 복잡한 레이스 컨디션까지 다양한 취약점이 포함되었으며, 기존 퍼징으로는 찾기 어려웠던 문제들이다.
Mozilla는 AI 모델을 통해 Firefox 보안을 강화하는 과정을 상세히 공개했다. 몇 달 전까지만 해도 AI가 생성하는 보안 버그 리포트는 대부분 부정확했지만, 최근 모델 성능이 크게 향상되고 Mozilla의 활용 기법이 개선되면서 상황이 극적으로 바뀌었다고 설명했다.
발견된 주요 취약점으로는 WebAssembly JIT 최적화 오류로 인한 임의 읽기/쓰기 가능성(Bug 2024918), 15년 된 legend 엘리먼트 버그(Bug 2024437), IPC를 통한 레이스 컨디션 악용으로 샌드박스 탈출 가능성(Bug 2021894) 등이 있다. 특히 20년 된 XSLT 버그(Bug 2025977)도 포함되어 있어 AI가 기존 방법으로는 찾기 어려운 오래된 취약점까지 발견할 수 있음을 보여줬다.
Mozilla는 보통 보안 수정 후 몇 달간 버그 리포트를 비공개로 유지하지만, 이번에는 소프트웨어 생태계 전반의 긴급한 대응 필요성을 고려해 일부 리포트를 공개했다. 회사는 다른 프로젝트들도 이러한 AI 기법을 적극 활용해 보안을 강화할 것을 권고했다.