무슨 일이 있었나
2026년 5월 22일, Anthropic은 Project Glasswing의 초기 업데이트를 발표하고 Claude Mythos Preview가 널리 사용되는 소프트웨어 전반에서 10,000개 이상의 심각도 높음 또는 중대 취약점을 자율적으로 발견했으며, Trail of Bits, ADA Logics, Calif.io 등 외부 보안 연구 회사들이 90.8%의 진양성률을 확인한 281개의 오픈소스 프로젝트에서 유지관리자에게 1,596개가 공개되었음을 보여주는 공개 Coordinated Vulnerability Disclosure (CVD) 대시보드를 출범했습니다. 공개된 발견 사항 중 97개는 패치되었으며 88개는 CVE 또는 GHSA 식별자가 할당되었습니다. 주목할 만한 CVE에는 17년 된 FreeBSD RCE (CVE-2026-4747)와 Mozilla와의 협업으로 발견된 Firefox 취약점이 포함됩니다. 이 모델은 Anthropic이 치명적인 악용 위험을 이유로 공개 배포를 영구적으로 보류했기 때문에 통제된 접근 권한 하에서 약 50개의 파트너 조직(AWS, Apple, Google, Microsoft, Cisco, NVIDIA, CrowdStrike, JPMorgan Chase)으로 제한됩니다.
왜 중요한가
이것은 외부 회사가 검증한 진양성률로 규모 있는 AI 기반 자율 취약점 발견을 문서화한 첫 번째 벤더 발표입니다. 이는 공격적 및 방어적 취약점 연구의 경제학을 근본적으로 변화시킵니다. 병목 현상은 취약점 발견에서 인간 속도의 패치 분류 및 조율로 이동했습니다. Cloudflare의 Mythos 분석에 따르면 이는 자율적으로 다중 버그 익스플로잇 체인을 구성하며, 유지관리자들은 패치 용량이 새로운 제약이 되었기 때문에 Anthropic에 공개를 지연해달라고 요청했습니다. 보안 팀은 이제 90일 공개 기간이 닫히기 시작할 때 기초 OSS (브라우저, TLS 라이브러리, 커널)에서 집중 속도의 패치 드롭에 대해 계획해야 합니다.
적용 범위
AI 인프라 또는 일반적인 용도로 오픈소스 소프트웨어에 의존하는 모든 조직은 Firefox, wolfSSL, nginx, FreeBSD, libyang, mastodon, freerdp에 대한 패치 주기 모니터링을 강화해야 합니다. 취약점 발견을 위해 최첨단 AI를 평가하는 보안 팀은 Glasswing의 90.8% TPR을 유사한 사내 프로그램의 참고 벤치마크로 취급해야 합니다. CISO는 패치 윈도우 압축(CVE 공개에서 작동 가능한 익스플로잇까지)이 이제 주 단위가 아닌 시간 단위로 측정된다는 것을 이사회에 보고해야 합니다.