Anthropic：Project Glasswing이 첫 달에 10,000개 이상의 고위험 취약점 발견

Anthropic은 2026년 5월 22일, 공격자가 악용하기 전에 취약점을 발견하기 위해 Claude Mythos Preview 모델을 사용하여 중요 소프트웨어를 스캔하는 Project Glasswing의 첫 번째 월간 보고서를 발표했습니다. Project Glasswing은 Mozilla, 영국 AI 안전 연구소, XBOW의 보안 팀을 포함한 약 50개의 외부 파트너를 결집하고 있으며, 이들은 구조화된 연구 프리뷰 프로그램을 통해 Mythos 모델을 사용합니다. 첫 달, 파트너들은 자신들의 프로덕션 코드베이스에서 10,000개 이상의 고위험 및 심각한 취약점을 보고했습니다.

Anthropic은 동시에 Glasswing이 GitHub 및 기타 플랫폼의 1,000개 이상의 JavaScript, Python, Rust 프로젝트를 자동으로 스캔하는 오픈 소스 프로그램도 시작했습니다. 이 프로그램에서 Mythos는 6,202개의 고위험 및 심각한 취약점을 90.6%의 진양성률로 발견했으며, 이 수치는 프로젝트 관리자와의 협조적인 분류 프로세스를 통해 측정되었습니다.

Project Glasswing의 기술적 작동 방식

Project Glasswing은 Claude Mythos Preview 모델과 파이프라인을 결합합니다. 이 파이프라인은 소스 코드를 받아 함수와 메타데이터의 의미론적 모델을 구축한 다음, 특정 클래스의 취약점——메모리 안전 결함, 역직렬화 가젯, 경쟁 조건, 하드코딩된 자격 증명, 권한 부여 제어의 논리적 오류——을 찾도록 모델에 지시합니다. Mythos는 가설을 생성하고 샌드박스 환경에서 재현을 시도하며, 검증된 발견만 인간 검토 팀에 전달합니다.

Anthropic은 Mythos가 의미론적 이해와 표적화된 실험을 결합하기 때문에 전통적인 정적 분석기와 퍼저가 놓치는 결함을 발견할 수 있다고 주장합니다. Mozilla는 협조적인 발표에서 Mythos가 Glasswing 프로그램을 통해 Firefox 코드베이스에서 이전의 내부 및 외부 침투 테스트 라운드보다 10배 더 많은 확인된 취약점을 발견했다고 밝혔습니다.

파트너 사용 현황 및 결과

보고된 수치 중에서 Anthropic은 몇 가지 구체적인 파트너를 강조했습니다. Mozilla는 Mythos가 기존 감사 팀보다 10배 빠른 속도로 Firefox 코드베이스의 보안 결함을 발견하고 있다고 발표했습니다. 영국 AI 안전 연구소는 Glasswing을 발견 사항의 독립적 검증과 모델의 공격적 역량 평가에 사용합니다. 자율 침투 테스터를 전문으로 하는 XBOW는 Mythos를 자율 침투 에이전트에 통합하고 있습니다.

이것이 사이버 보안을 어떻게 바꾸는가

Anthropic은 주요 병목이 취약점 발견에서 검증과 패치 적용으로 이동했다고 명시하고 있습니다. 수천 건의 확인된 심각한 결함이 협조적인 공개와 수정을 기다리고 있으며, 이는 오픈 소스 프로젝트 관리자와 제품 보안 팀에 압박을 가합니다. 이는 사이버 보안의 구조적 변화입니다——수십 년 동안 「보고된 취약점 수를 따라잡을 수 없다」는 주장이 패치 누락의 변명이었지만, 이제는 불충분한 조직화의 핑계가 됩니다.

Mythos 모델이 비공개를 유지하는 이유

Anthropic은 같은 문서에서 Mythos 모델이 현재는 더 넓은 공개 가용성 없이 Preview 접근 상태로 유지된다고 설명했습니다. 이유는 이중 용도 위험입니다：파트너가 취약점을 찾고 패치하는 데 도움이 되는 동일한 능력이 공격자가 프로덕션 시스템의 결함을 자동으로 검색하는 것도 가능하게 합니다. Anthropic은 현재의 안전장치——속도 제한, 파트너 프로그램을 통한 접근 제어, 쿼리 모니터링——가 무제한 공개 배포에 충분하지 않다고 평가합니다.

영국 AI 안전 연구소가 Mythos 모델의 공격적 역량에 대한 독립적 평가를 통해 이 평가를 확인했습니다. Anthropic은 향후 몇 달 내에 파트너 프로그램을 확대하고 2027년에 더 넓은 접근을 가능하게 할 수 있는 더 강력한 안전장치를 개발할 것을 발표했습니다.