지난달 Anthropic이 Mythos를 제한 출시한 이유를 다뤘어요. 보안 취약점을 대규모로 찾아낼 수 있는 능력이 방어보다 공격에 먼저 쓰일 수 있어서, 검증된 기관에만 먼저 공개했다는 거였어요. 그 능력이 실제로 어느 정도인지는 그때 숫자로 확인되지 않았어요.
5월 7일 TechCrunch가 보도한 것처럼, 이제 숫자가 나왔어요. Mozilla Firefox 보안팀이 4월 한 달간의 결과를 공개했어요.
숫자가 말해주는 것
2025년 한 해 동안 Firefox가 수정한 고위험 보안 버그는 73개였어요. Mythos가 투입된 2026년 4월 한 달 동안 수정된 버그는 423개예요. 이 중 271개를 Mythos가 발견했어요.
한 달이 18개월치를 넘었어요. Mythos가 발굴한 버그 중에는 코드 안에 10년 넘게 묻혀있던 것들도 있었어요. 기존 보안 도구와 인간 연구자들이 수년간 발견하지 못한 취약점이에요.
Mozilla 보안팀은 “이 변화를 과소평가하기 어렵다”고 했어요. 몇 달 전만 해도 AI 보안 도구는 품질 낮은 보고서와 오탐지로 가득해서 오히려 팀의 부담이 됐어요. 근데 Mythos는 스스로 결과를 평가하고 나쁜 결과를 걸러내는 구조로 작동해요.
AI가 직접 고치지는 않아요
한 가지 중요한 부분이 있어요. Mythos는 버그를 찾는 역할이고, 실제 패치는 여전히 인간 엔지니어가 작성해요. Mozilla 엔지니어 Brian Grinstead는 “우리가 얘기하는 버그들은 전부 한 명의 엔지니어가 패치를 작성하고 한 명이 검토했다”고 밝혔어요. AI로 자동화가 가능한지 시도해봤지만 아직은 안 됐다고요.
Claude API로 자동화 파이프라인을 구축하면서 느낀 것도 비슷해요. AI가 초안을 만들고 속도를 높여주지만, 최종 판단과 검증은 사람이 해야 해요. Mythos가 버그를 찾고 인간이 패치를 작성하는 구조는 그 감각과 정확히 같아요.
TechCrunch 보도에 따르면, Anthropic CEO Dario Amodei는 최근 행사에서 이 기술이 결국 방어하는 쪽에 유리하게 작용할 것이라고 밝혔어요. 공격보다 방어 목적으로 AI를 먼저 활용하면 더 나은 위치를 점할 수 있다는 거예요.
AI가 찾고 인간이 고치는 이 구조, 앞으로 어떤 영역까지 확장될 것 같으신가요?