무슨 일이 있었나
Anthropic은 2026년 5월 22일에 Project Glasswing의 첫 번째 업데이트를 발표했으며, Microsoft, Apple, Google, Cloudflare를 포함한 약 50개 파트너사와 함께 배포된 제한된 Claude Mythos Preview 모델이 첫 1개월 운영 기간에 주요 소프트웨어 전반에서 10,000개 이상의 높은 수준 및 심각 수준의 취약점을 발견했음을 공개했습니다. 파트너사들은 버그 발견 속도가 이전 방법보다 10배 이상 증가했다고 보고했으며, Cloudflare만 해도 2,000개의 버그(400개 높은 수준/심각)를 발견했으며 거짓 양성률이 인간 테스터보다 우수합니다. Mythos Preview는 자율적으로 다중 단계 익스플로잇 체인을 구성할 수 있으며, 낮은 수준의 원시 기능을 높은 수준의 공격으로 연결하고, 자체 수정 루프에서 작동하는 개념 증명을 생성할 수 있습니다. UK AI Security Institute는 Mythos Preview가 다중 단계 사이버 공격 시뮬레이션 범위 두 가지를 모두 처음부터 끝까지 완전히 해결한 첫 번째 모델임을 확인했습니다. Anthropic은 제한된 Glasswing 컨소시엄에 포함되지 않은 기업을 위해 Claude Security(Opus 4.7)를 공개 베타로 출시했으며, 이미 2,100개의 기업 취약점 패치를 지원했습니다.
왜 중요한가
이것은 AI 지원 취약점 발견이 정성적 임계값을 넘었다는 가장 명확한 경험적 증거입니다. 병목 현상은 더 이상 버그 발견이 아니라 공격자가 동일한 기능을 무기화할 수 있는 것보다 빠르게 취약점을 검증, 조율, 패치하는 것입니다. 분기별 스캔 또는 월간 유지보수 창 패치 체계에서 운영되는 조직은 구조적으로 준비되지 않았습니다. 공개에 인용된 Mandiant의 M-Trends 2026 데이터는 공격자가 이제 패치 출시 *7일 전* 평균적으로 취약점을 악용한다고 보여줍니다. Mythos가 일반 공개에서 제외되어 있기 때문에, Glasswing 컨소시엄에서 운영하는 방어자는 공격자가 비교 가능한 오픈 소스 또는 중국 시장 모델에 접근함에 따라 무한정 지속되지 않을 비대칭적 이점을 가지고 있습니다.
적용 범위
모든 기업은 즉시 7일 사전 패치 악용 기준에 대한 패치 관리 SLA를 검토하고, 향후 90일의 조율된 공개 창에서 공개되는 Glasswing CVE 공개(NVD를 통해 추적)를 다른 공개보다 우선시하며, 지원 복구를 위해 Anthropic의 Claude Security 공개 베타를 평가해야 합니다. 금융 서비스, 의료, 주요 기반시설 회사는 2026년 나머지 기간 동안 높은 수준의 취약점 공개율이 계속해서 실질적으로 증가할 것임을 이사회에 보고해야 합니다.