Mozilla, Mythos AI로 271개 취약점 발견해 '거짓양성 거의 없다'고 발표
원제: Mozilla says 271 vulnerabilities found by Mythos have "almost no false positives"
왜 중요한가
AI 기반 보안 도구의 실용성 입증으로 소프트웨어 보안 분야의 새로운 전환점을 제시했다.
Mozilla가 Anthropic의 AI 모델 Mythos를 활용해 2개월간 Firefox에서 271개의 보안 취약점을 발견했다고 발표했다. 회사는 맞춤형 하네스 시스템을 개발해 거의 모든 발견이 실제 취약점이라고 강조했다.
Mozilla의 CTO가 지난달 AI 기반 취약점 탐지로 '제로데이 공격의 시대가 끝날 것'이라고 선언한 후 회의적 반응이 나오자, Mozilla는 구체적인 성과를 공개했다. Mozilla 엔지니어들은 과거 AI 보안 도구들이 '원치 않는 슬롭(unwanted slop)'을 생성해 대부분이 허위 양성이었던 것과 달리, 이번에는 다른 결과를 얻었다고 설명했다. 핵심 차별화 요소는 '에이전트 하네스' 시스템으로, 이는 LLM을 감싸서 특정 작업을 안내하는 코드다. Mozilla Distinguished Engineer Brian Grinstead는 '하네스가 모델에게 명령을 내리고(예: 이 파일에서 버그 찾기), 도구를 제공하며(파일 읽기/쓰기, 테스트 케이스 평가 등), 완료될 때까지 루프로 실행시킨다'고 설명했다. 하네스는 Mythos에게 Mozilla 개발자들이 사용하는 것과 동일한 도구와 파이프라인, 특별한 Firefox 테스트 빌드에 대한 접근권을 제공했다. 메모리 안전성 문제를 찾을 때 sanitizer 빌드를 사용해 크래시가 발생하면 성공으로 간주하는 방식으로 작동한다.