인공지능 기업인 앤스로픽과 오픈AI는 자사 제품과 관련된 증가하는 위험에 대응하기 위해 진지한 조치를 취하고 있습니다. 알트먼의 회사는 취약한 시스템을 보호하는 데 도움이 되는 전문가 전용 모델을 출시했으며, 앤스로픽은 이제 사용자가 특정 기능에 접근하기 전에 신원 인증을 요구하고 있습니다.
인공지능 모델이 처음 공개되었을 때는 텍스트를 지브리 스타일의 그림으로 바꾸거나 쇼핑 목록을 작성하는 데 사용되었지만, 인공지능은 빠르게 국가 안보 문제로 대두되었습니다.
Anthropic에서 왜 운전면허증을 요구하는 건가요?
해커들이 이미 AI를 이용해 방어 시스템을 우회하고 있어, 앤트로픽 dent 신원 확인 절차를 도입해야 했습니다 . 이제 사용자들은 특정 기능을 사용하기 위해 실물 정부 발행 신분증(여권 또는 운전면허증)과 실시간 셀카 사진을 제출해야 합니다.
파트너사인 페르소나가 데이터를 처리합니다. 앤트로픽은 dent 사용하지 않을 것이라고 밝혔습니다 . 또한, 인증 절차는 "악용 방지, 이용 정책 시행 및 법적 의무 준수를 위해" 필요하다고 설명했습니다.
사용자가 테스트에 실패하거나 지원되지 않는 위치에서 시스템을 사용하려고 하면 계정이 차단될 수 있습니다.
이번 갑작스러운 단속은 앤트로픽사가 자사의 신형 모델인 클로드 미토스 프리뷰가 해킹 능력이 놀라울 정도로 뛰어나다는 사실을 인정했기 때문입니다.
검증 소식과 함께 공개된 블로그 게시물 에서 사용자의 지시에 따라 모든 주요 운영 체제와 모든 주요 웹 브라우저에서 제로데이 취약점을 식별하고 악용할 수 있다"고 dent
정식 보안 교육을 받지 않은 앤트로픽의 엔지니어들은 미토스에 하룻밤 사이에 원격 코드 실행 취약점을 찾아달라고 요청했습니다. 회사에 따르면, 그들은 "다음 날 아침에 완벽하게 작동하는 익스플로잇을 발견했다"고 합니다
새로운 AI 모델은 실제로 위험한 것일까요?
영국 인공지능 보안 연구소(AISI)는 Mythos가 사이버 보안 역량 면에서 "한 단계 발전"을 의미한다는 평가 보고서를 발표했습니다
앤트로픽의 내부 블로그 게시물은 해당 모델의 기능에 대한 가장 충격적인 세부 정보를 제공합니다. 미토스는 최초 요청을 받은 후 보안성이 뛰어난 것으로 알려진 운영 체제인 오픈BSD에서 27년 된 버그를 발견했습니다.
Mythos는 거의 모든 주요 서비스에서 사용하는 비디오 편집 도구인 FFmpeg에서 16년 된 버그를 발견했습니다. 이 도구는 퍼징이라는 기법을 통해 수백만 개의 무작위 입력으로 테스트되었지만, Mythos는 2003년 커밋까지 거슬러 올라가는 H.264 코덱의 취약점을 발견했습니다.
그뿐만 아니라, Mythos는 FreeBSD의 NFS 서버에서 17년 된 취약점을 발견하고, 인터넷상의 인증되지 않은 사용자가 서버에 대한 완전한 루트 액세스 권한을 얻을 수 있도록 하는 익스플로잇을 작성했습니다.
회사 측은 Mythos Preview가 "완전히 자율적으로 이 취약점을dent후 악용했다"고 확인했습니다. 전체 과정은 API 가격 기준으로 2,000달러 미만의 비용이 들었고 하루도 채 걸리지 않았습니다.
Mythos는 모든 주요 웹 브라우저에서 취약점을 발견했습니다. 한 사례에서는 JIT 힙 스프레이를 포함한 네 가지 취약점을 연결하여 브라우저의 렌더러 샌드박스와 운영체제의 샌드박스를 모두 우회하는 브라우저 익스플로잇을 개발했습니다.
Anthropic은 오픈 소스 및 클로즈드 소스 소프트웨어 전반에 걸쳐 "수천 건의 심각도 높은 취약점과 치명적인 취약점"을 추가로 발견했습니다. 이러한 버그의 99% 이상은 아직 패치되지 않았습니다.
OpenAI의 보안 위험 대응 방식
이러한 문제점에도 불구하고 OpenAI는 GPT-5.4-Cyber 를 출시한다고 발표했는데 , 이는 안전상의 이유로 해킹 작업을 지원하지 않는 기존 모델과 달리 "합법적인 사이버 보안 작업에 대해서는 지원 거부 기준을 낮췄습니다."
GPT-5.4-Cyber는 소스 코드에 접근하지 않고도 컴파일된 소프트웨어를 분석하여 악성코드와 취약점을 탐지할 수 있지만, 접근 권한은 OpenAI의 "Trusted Access for Cyber"(TAC) 프로그램으로 제한됩니다. 검증된 사이버 보안 전문가, 연구원 및 중요 시스템을 방어하는 기관만 사용할 수 있습니다.
앤트로픽의 글래스윙 프로젝트는 아마존(AMZN), 애플(AAPL), 구글(GOOGL)과 같은 기업의 보안 담당자에게 제한적인 접근 권한을 제공하여 공격자가 악용하기 전에 중요 인프라를 보호할 수 있도록 합니다.
한편, 앤트로픽은 보안 업데이트를 매달 설치하는 대신 즉시 설치할 것을 권장합니다.
