파이어폭스 보안을 강화하기 위한 Anthropic–Mozilla 협력

5 hours ago 1

Claude Opus 4.6이 Mozilla와의 협업을 통해 파이어폭스에서 22건의 취약점을 발견, 이 중 14건이 고위험 등급으로 분류됨
AI 모델이 복잡한 소프트웨어의 제로데이 취약점을 빠르게 탐지할 수 있음을 입증, 파이어폭스 148.0 버전에 수정사항 반영
Claude는 JavaScript 엔진을 포함한 코드 영역에서 수천 개 파일을 분석하며 112건의 보고서를 제출, Mozilla는 이를 기반으로 수정 진행
AI가 취약점을 탐지하는 능력은 뛰어나지만, 실제 익스플로잇(공격 코드) 작성 능력은 제한적임이 확인됨
Anthropic은 AI 기반 보안 연구 협력 모델을 제시하며, 오픈소스 생태계와의 협력을 통해 방어자 중심의 보안 강화를 촉구함

Mozilla와의 협력 개요

Claude Opus 4.6은 2주간의 분석을 통해 22개의 파이어폭스 취약점을 발견, Mozilla는 이 중 14건을 고위험으로 분류
- 이는 2025년 파이어폭스에서 수정된 고위험 취약점의 약 20%에 해당
- 수정 사항은 Firefox 148.0 버전에 포함되어 수억 명의 사용자에게 배포됨
Mozilla는 Anthropic의 보고를 검증하며 버그 리포트 기준과 프로세스를 공유, 협력적 검증 체계를 구축
이 협력은 AI 기반 보안 연구자와 유지관리자 간 협업 모델의 사례로 제시됨

AI 모델을 활용한 취약점 탐지 과정

Anthropic은 CyberGym 벤치마크를 넘어서는 현실적 테스트를 위해 Firefox CVE 데이터셋을 구축
- 파이어폭스는 복잡하고 보안성이 높은 오픈소스 프로젝트로, AI의 탐지 능력을 검증하기에 적합한 대상
Claude는 과거 CVE를 재현한 뒤, 최신 버전의 새로운 취약점 탐지에 도전
- 첫 20분 만에 Use After Free 메모리 취약점을 발견, 독립 검증 후 Mozilla에 보고
이후 Claude는 6,000여 개 C++ 파일을 분석해 112건의 고유 보고서를 제출
- 대부분의 문제는 Firefox 148에서 수정되었으며, 일부는 향후 버전에서 해결 예정

취약점 익스플로잇 실험

Claude의 보안 능력 상한선을 평가하기 위해, 발견된 취약점을 실제 공격 코드로 전환할 수 있는지 실험 수행
- 수백 회의 테스트와 약 4,000달러의 API 비용을 투입
- 결과적으로 2건만 실제 익스플로잇 성공, 탐지 능력 대비 공격 생성 능력은 낮음
성공한 익스플로잇은 테스트 환경에서만 작동, 실제 브라우저의 샌드박스 보안 기능이 제거된 상태
- Firefox의 다층 방어 체계가 이러한 공격을 완화할 수 있음
Anthropic은 이 실험을 통해 AI가 공격 도구를 자동 생성할 가능성을 경고함

AI 기반 보안 연구의 모범 사례

Anthropic은 패칭 에이전트(patching agent) 연구를 통해 LLM이 버그 수정과 검증을 수행할 수 있는 방법을 개발
- Task verifier라는 보조 도구를 사용해 AI의 결과를 실시간 검증
- 취약점 제거 여부와 프로그램 기능 유지 여부를 자동 테스트
Mozilla가 신뢰한 보고서의 핵심 구성 요소는 다음 세 가지임
- 최소 재현 테스트 케이스
- 상세한 Proof-of-Concept
- 후보 패치 코드
연구자들에게 LLM 기반 취약점 보고 시 검증 가능성과 재현성 증거를 함께 제출할 것을 권장

향후 전망과 보안 강화 필요성

Claude Opus 4.6은 파이어폭스 외에도 리눅스 커널 등 주요 프로젝트에서 취약점을 발견
현재 AI는 탐지·수정 능력이 익스플로잇 생성 능력보다 우세, 이는 방어자에게 유리한 상황
그러나 모델 발전 속도를 고려할 때, 공격 능력 격차가 빠르게 좁혀질 가능성이 있음
Anthropic은 Claude Code Security를 통해 취약점 탐지 및 패칭 기능을 연구자와 유지관리자에게 제공 중
개발자들에게 보안 강화의 골든타임을 활용할 것을 촉구하며,
- 취약점 탐색 협력
- 버그 리포트 분류 도구 개발
- 자동 패치 제안 기능 확장을 계획 중임

Read Entire Article