Mythos AI가 발견한 FreeBSD 취약점, 이미 훈련 데이터에 포함
원제: The FreeBSD vulnerability "discovered" by Mythos was already in its training data.
왜 중요한가
AI가 기존 취약점을 재발견하는 사례로, AI 보안 연구의 한계와 훈련 데이터 투명성의 중요성을 시사한다.
Anthropic의 Claude Mythos가 'AI 최초 발견'이라고 주장한 FreeBSD 커널 취약점 CVE-2026-4747이 실제로는 AI 훈련 데이터에 이미 포함되어 있던 20년 된 버그였다고 보안업체 Rival Research가 분석 결과를 발표했다.
Anthropic은 Claude Mythos가 '원격 커널 익스플로잇을 발견하고 악용한 최초의 AI'라고 발표했지만, Rival Research의 분석에 따르면 해당 취약점은 새로운 발견이 아닌 것으로 나타났다. 문제가 된 CVE-2026-4747은 FreeBSD 네트워크 파일 시스템의 원격 코드 실행 취약점으로, sys/rpc/rpcsec_gss/svc_rpcsec_gss.c 파일의 svc_rpc_gss_validate() 함수에서 발생하는 전형적인 스택 오버플로우 버그다. 이 함수는 128바이트 스택 버퍼에 RPC 헤더를 재구성할 때 oa_length 값에 대한 경계 검사 없이 메모리 복사를 수행한다. 32바이트 고정 헤더 후 96바이트 공간만 남는데, 96바이트를 초과하는 credential이 들어오면 스택 오버플로우가 발생한다. 이 코드는 Sun Microsystems의 1984년 ONC RPC와 1985년 NFS에 뿌리를 둔 20년 된 코드로, FreeBSD 14.4-RELEASE-p1에서 단순한 경계 검사 추가로 패치됐다.