Claude Code에 WebAssembly의 실제 분석 결과(ground-truth)를 제공하여 바이너리에 대한 추측을 방지하는 MCP

만약 여러분이 Claude에게 .wasm 파일에 대해 물어본 적이 있다면, 아마 저도 계속 겪었던 문제에 부딪혔을 것입니다. Claude는 추론 능력은 뛰어나지만, 실제 바이트에서 읽어낼 수 없는 저수준(low-level) 세부 사항들—예를 들어 call_indirect가 어떤 함수로 해결되는지, LEB128 인덱스, 크래시 프레임이 어떤 함수를 가리키는지 등—을 자신 있게 지어내곤 합니다. 이러한 것들은 더 큰 모델이 해결해 줄 수 있는 사실이 아니라, 파서(parser)가 필요한 사실들입니다. 모델은 이를 스스로 검증할 수 없으며, 이는 최악의 상황인 '틀렸지만 눈에 보이지 않는' 상태를 만듭니다.

그래서 저는 제가 JetBrains에서 작업 중인 바이너리 분석 도구인 Hexana를 Claude Code를 위한 MCP 서버로 패키징했습니다. Claude는 추론을 하고, Hexana는 바이너리를 정확하게 읽어 검증된 구조를 전달합니다. query_artifacts라는 하나의 도구가 다음과 같은 집중적인 작업들을 수행합니다:

• 크래시 트리아지(Crash triage) — 스택의 funcidx 값들을 제공하면, 단 한 번의 호출로 14,000개의 함수가 포함된 모듈 전체에서 각 값을 함수 식별자와 해당 메모리 쓰기(memory-write) / 호스트 호출(host-call) 효과로 해결해 줍니다.
• API/ABI 차이 분석(diff) — 두 개의 빌드를 지정하면 변경된 시그니처(signatures), 공개 타입 인덱스(public type indices), 참조 타입 임포트(reference-type import) ABI 리스크를 보여줍니다.
• 공급망 임포트 감사(Supply-chain import audit) — 모듈이 샌드박스에 요구하는 정확한 호스트 임포트(env, wasi_* 등)를 확인합니다.

여기에 더해 메모리 계약(memory contracts), 전역 상태 정책(global-state policy), 데이터 세그먼트 페이로드 체크, 엔트리 포인트(entry-point) 효과 등을 제공합니다. 14,000개의 함수가 있는 모듈은 컨텍스트 윈도우(context window)에 다 들어가지 않기 때문에, 출력은 바이트 제한이 있고 페이지가 나뉘어 제공됩니다.

번들로 포함된 wasm-inspector 스킬은 Claude에게 어떤 작업을 선택할지 알려주며, 구조적 사실에 대해서는 objdump/strings/hexdump보다 Hexana를 우선적으로 사용하도록 합니다. 이는 wasm-tools를 보완하는 것이며, 디컴파일러(decompiler)는 아닙.

설치 방법 (Claude Code에서 한 줄로 가능하며, 서버는 플러그인과 함께 제공되어 빌드 단계가 필요 없습니다. 단, PATH에 Java 21+ 런타임이 필요합니다):
/plugin marketplace add git@github.com:JetBrains/hexana.git
그 다음 /plugin을 열고, 새로운 마켓플레이스에서 Hexana를 선택하거나 (/plugin install hexana@hexana 입력), Claude에게 다음과 같이 물어보세요: "Hexana를 사용하여 .wasm의 개요를 알려줘."

현재 상태: v0.1.0, WebAssembly 전용 — 네이티브 ELF/PE/Mach-O 기능은 이 MCP 빌드가 아닌 JetBrains IDE용 Hexana 플러그인에 포함되어 있습니다.

Repo: https://github.com/JetBrains/hexana — MCP 설계나 WASM 추출에 대해 궁금한 점이 있다면 무엇이든 기꺼이 답변해 드리겠습니다.
제출자: /u/minamoto108
[link] [comments]