Anthropic 「Project Glasswing」 초기 보고서 —— 1개월 만에 1만 건 이상의 취약점 발견, Mythos가 "결과"를

본 기사는 필자가 운영하는 AI Quotidia (ai.quotidia.jp)의 해외 뉴스 해설 기사입니다.

여러분은 AI에게 "전 세계의 소프트웨어를 점검하게 한다면, 도대체 얼마나 많은 결함이 발견될까"라고 생각해 본 적이 있으신가요? 그 질문에 대해 Anthropic이 하나의 초기 답변을 제시했습니다.

Anthropic은 2026년 5월 22일, 방어적 사이버 보안 지원 프로그램인 「Project Glasswing」 론칭으로부터 약 1개월이 지난 시점의 **초동 보고서 (initial update)**를 공개했습니다. 자사의 플래그십 모델인 Claude Mythos를 활용한 이 프로그램은, 당초 구상으로부터 불과 1개월 만에 상상을 초월하는 구체적인 성과를 내기 시작했습니다.

보고서에서 공개된 수치를 정리합니다.

발견된 취약점: 1개월 만에 1만 건 초과
참여 파트너: 50개사로 확대 (론칭 당초 대비 대폭 증가)
Cloudflare 사례: 단독으로 2,000건의 취약점 검출
은행 사기 사전 차단: 150만 달러(약 2.3억 엔) 상당의 공격(attack)을 탐지

모두 추상적인 "가능성"이 아니라, 이미 방어한 피해로서 기록된 구체적인 숫자입니다. Anthropic이 론칭 시 내걸었던 "AI를 방패로 사용한다"라는 비전은, 불과 1개월 만에 "실제로 무언가를 지켜냈다"라는 결과로 바뀌고 있습니다.

업계에 가장 큰 충격을 준 것은 암호 통신 라이브러리인 wolfSSL에서의 발견입니다. Mythos는 위조 인증서를 생성할 수 있게 하는 취약점을 검출했습니다.

wolfSSL은 IoT 기기나 임베디드 시스템에서 널리 사용되는 보안 라이브러리입니다. 인증서 위조가 가능하다는 것은 암호 통신 신뢰의 근간이 흔들린다는 것을 의미합니다. AI가 이토록 깊은 계층의 결함을 발견했다는 사실은, 보안 라이브러리 업계 전체에 "AI에게 감사(audit)받는 시대"의 도래를 알렸습니다.

또 다른 큰 움직임은 Claude Security의 퍼블릭 베타 (public beta) 시작입니다. 지금까지 승인제 (gated access)였던 Mythos 기반의 보안 기능이 일반 개발자에게도 단계적으로 개방됩니다. 나아가, 제3자에 의한 검증 스킴으로서 Cyber Verification Program도 신설되었습니다. 단순히 "발견했습니다"에서 끝내지 않고, 외부의 독립된 검증자에 의해 결과의 타당성을 담보하는 구조입니다.

이러한 움직임은 일본의 우리에게도 몇 가지 시사점을 남깁니다.

먼저, 국내 보안 라이브러리 및 오픈 소스(OSS) 프로젝트가 AI 감사를 "언제, 누가, 어떤 기준으로" 받을 것인가에 대한 논의가 현실성을 띠게 되었습니다. wolfSSL 급의 발견이 일본 기업이 의존하는 OSS에서도 일어날 수 있기 때문입니다.

다음으로, 금융 기관이나 중요 인프라 사업자에게 Claude Security의 퍼블릭 베타는 "사용할 것인가, 사용하지 않을 것인가"의 판단을 요구하는 선택지가 됩니다. 150만 달러의 사기 차단이라는 구체적인 사례는 품의서 작성 시 무게감을 갖는 숫자입니다.

그리고 **제3자 검증 스킴 (Cyber Verification Program)**은 일본의 AI 거버넌스 논의에도 참조점을 제공합니다. "AI에게 맡기면 검증은 어떻게 하는가"라는 질문에 하나의 구현 해답이 제시된 셈입니다.

론칭으로부터 1개월. Mythos는 "움직이기 시작한" 단계를 지나 "결과를 내고 있는" 단계에 진입했습니다. 다음 1개월 동안 이 수치가 어떻게 더 쌓여갈지 —— 조용하지만 확실한 관심을 가지고 지켜보고 싶습니다.

이 기사는 AI Quotidia에서 전재하였습니다.

문호 모드(정경 묘사와 비유로 읽기) · 속보 모드(30초 만에 읽기)도 사이트에서 읽을 수 있습니다.

👉 https://ai.quotidia.jp?utm_source=qiita&utm_medium=referral