Anthropic의 새로운 Claude 보안 도구, 코드 스캔 후 어떤 결함을 먼저 패닉할지 결정

Anthropic이 Claude Security를 발표했습니다. 이는 새로운 방어적 사이버 보안 제품으로, 현재 Enterprise 등급 Claude 사용자에게 공개 베타로 제공되며, Claude Team 및 Max 등급 사용자에게는 "곧" 제공될 예정입니다. 이 도구를 통해 보안 팀은 Claude Opus 4.7 모델을 사용하여 "코드베이스의 취약점을 스캔하고 타겟 패치를 생성"할 수 있습니다.

이달 초, Anthropic은 오픈소스 소프트웨어 인프라의 취약점을 찾기 위한 AI 맨해튼 프로젝트인 Project Glasswing을 공개했습니다. Glasswing은 Mythos라는 Anthropic 모델을 사용하는데, 이 모델은 너무 위험해서 대중에게 공개되지 않습니다. Mythos는 Amazon Web Services, Anthropic, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, Nvidia, Palo Alto Networks 등 이전에는 경쟁사였던 Glasswing 참가자들과 공유됩니다.

Project Glasswing과 Claude Security의 핵심은 취약점 스캔입니다. 대부분의 사이버 공격은 적이 취약점을 악용하면서 시작됩니다. 따라서 방어자가 취약점을 찾아 패치하면 악의적인 공격자의 공격 표면이 줄어듭니다. 스타워즈를 기억하시나요? 새로운 희망의 전체 줄거리는 레아 공주가 R2-D2에 저장한 데스스타 설계도를 중심으로 전개됩니다. 반군이 그 설계도를 얻으면 취약점을 찾을 수 있습니다. 루크와 다른 조종사들이 해야 할 일은 데스스타의 배기구에 어뢰 한 발을 쏘는 것뿐입니다. 그러면... 펑! 이것이 바로 취약점입니다. 데스스타에는 치명적인 결함이 하나 있었습니다. 여러분의 코드베이스에는 아마 더 많을 겁니다. Anthropic의 새로운 Claude Security 도구는 공격자가 먼저 도달하기 전에 이를 찾고자 합니다.

현실로 돌아와서, 모든 것은 소프트웨어로 작동하며, 이는 본질적으로 취약합니다. 취약점은 적이 악용할 수 있는 문을 열어줄 뿐만 아니라, 존재 자체로 소프트웨어 사용자에게 버그를 일으켜 피해를 줄 수 있습니다. 저는 9월에 OpenAI의 Codex로 AI를 사용한 취약점 스캔을 처음 시도했습니다. 당시에는 프로젝트 전체 컨텍스트를 처리할 수 없어 실패했습니다. 하지만 AI 페어 프로그래밍 도구를 데이터 처리에 더 뛰어난 ChatGPT의 Deep Research와 결합했을 때, 두 도구는 제 보안 소프트웨어에서 여러 중요한 취약점을 찾아냈고, 즉시 수정했습니다. 그 이후로 Codex와 Claude Code 모두 한 컨텍스트에서 처리할 수 있는 코드 양이 개선되었지만, 여전히 전체 대규모 코드베이스를 한 번에 처리할 수는 없습니다. 하지만 Mythos는 가능합니다. 심지어 거시적 규모에서 코드베이스 간의 관계도 처리할 수 있습니다. 그러나 Enterprise 등급 수수료를 내더라도 대중에게는 제공되지 않습니다. 지난달 OpenAI는 더 넓은 범위의 컨텍스트 분석을 제공하는 Codex Security를 출시했습니다. 이제 Claude Security도 유사한 대규모 스캔을 수행할 수 있습니다.

이 새로운 제품은 전체 저장소 또는 대상 디렉토리를 스캔할 수 있습니다. Anthropic에 따르면, "Claude는 보안 연구원처럼 코드를 추론하며, 데이터 흐름을 추적하고, 소스 코드를 읽고, 파일과 모듈 간의 구성 요소 상호 작용을 파악합니다."

Claude Security에는 더 많은 기능이 있지만, 먼저 취약점 스캔 AI가 도입하는 큰 취약점에 대해 이야기해 보겠습니다. 취약점 스캐너는 방어자가 방어하는 데 도움을 줍니다. 하지만 공격자가 공격할 곳을 찾는 데도 도움이 됩니다. 그것이 바로 반군의 데스스타 공격의 핵심이었습니다. 취약점을 알게 되면 악용할 수 있었습니다. 예를 들어, Microsoft와 OpenAI는 중국, 이란, 러시아, 북한의 국가 연계 행위자들이 대규모 언어 모델을 사용하여 다양한 회사와 사이버 보안 도구를 연구하고, 코드를 디버깅하고, 스크립트를 생성하고, 피싱 및 스피어 피싱 캠페인에 사용될 콘텐츠를 만들었다고 보고했습니다.

Anthropic은 자사 모델이 유사한 방식으로 사용되는 것을 방지하려고 합니다. Opus 4.7 출시와 함께, 회사는 금지되거나 고위험 사이버 보안 사용을 암시하는 요청을 자동으로 감지하고 차단하는 새로운 사이버 보호 장치를 포함했습니다.