AI가 해커보다 먼저 취약점을 찾는다? — Mythos와 Glasswing

"27년 동안 아무도 몰랐던 보안 구멍이 AI 하나가 하룻밤 만에 뚫렸다?"

---

Project Glasswing이란?

2026년 4월 7일, Anthropic이 조용히, 하지만 엄청난 파장을 일으키는 발표를 했습니다

바로 Project Glasswing — AI를 활용해서 전 세계 핵심 소프트웨어 인프라의 취약점을 해커보다 먼저 찾아내고 막겠다는 사이버보안 대연합 이니셔티브입니다.

사실 "Glasswing"이라는 이름은 한 번 더 쓰인 이름이기도 해요. 2019년에 Adobe Research가 SIGGRAPH에서 발표한 투명 디스플레이 하드웨어 프로토타입도 같은 이름이었거든요. 당시 어도비는 헤드셋 없이 투명 유리 너머 실물과 디지털 이미지를 겹쳐 보여주는 기술을 선보였는데, 이 기술의 핵심 철학 — "투명함으로 세상을 더 잘 보게 한다" — 이 2026년 Anthropic의 프로젝트 이름으로 이어졌습니다.

이름의 유래는 투명한 날개를 가진 나비 Greta oto(유리날개나비)에서 왔는데, 투명한 날개로 눈에 보이지 않게 숨는 것처럼, 수십 년간 아무도 발견 못 한 취약점들을 상징하는 것입니다.

 

목적 

• AI가 찾아낸 초강력 소프트웨어 취약점 탐지 능력을 공격자보다 먼저 방어자 쪽에 붙여서 전 세계 핵심 소프트웨어를 미리 강화
• Anthropic은 이 프로젝트를 “AI 시대의 핵심 소프트웨어 보안 강화”로 설명하고 있음
• 실제로는 벤더·오픈소스 유지관리자·보안팀이 함께 취약점을 찾고 고치는 방어 연합에 가까움

주요 활동

• Claude Mythos Preview) 제공: 일반에 공개되지 않은 강력한 보안 특화 모델을 주요 파트너사(애플, 구글, 마이크로소프트, 리눅스 재단 등)에 제공하여 보안 진단에 활용하도록 함
• 취약점 탐지 및 패치: 운영체제(OS), 웹 브라우저, 핵심 오픈소스 라이브러리의 수십 년 된 취약점을 자율적으로 찾아내고 이를 해결하기 위한 패치 작업 수행
• 생태계 지원: 오픈소스 보안 단체에 $400만 달러를 기부하고, 파트너사들이 미토스 모델을 사용할 수 있도록 $1억 달러 규모의 사용 크레딧 지원.

---

핵심엔진 Mythos의 성능

Project Glasswing의 핵심 엔진은 Claude Mythos Preview입니다. Anthropic이 기존 Claude 라인업(Haiku → Sonnet → Opus) 위에 새로 얹은 최상위 계층 모델인데, 내부 코드명은 Copybara(카피바라) 입니다.

 

벤치마크로 보는 실력 차이

 

항목	Mythos Preview	Opus 4.6
SWE-bench Verified (코딩)	93.9%	80.8%
SWE-bench Pro	77.8%	53.4%
Terminal-Bench 2.0	82.0%	65.4%
CyberGym (사이버보안)	83.1%	66.6%
GPQA Diamond (과학 추론)	94.6%	91.3%

---

 Mythos가 실제로 찾아낸 취약점들

 

FFmpeg — 16년 된 취약점을 하루 만에

FFmpeg은 유튜브, 넷플릭스, 거의 모든 동영상 서비스의 심장이나 다름없는 라이브러리입니다. 기존 자동화 보안 도구들이 500만 번이나 코드를 돌려봤는데도 못 찾은 취약점을, Mythos Preview가 발견했습니다. 무려 16년 동안 숨어있던 결함이였다고 합니다.

 

OpenBSD — 27년 된 원격 충돌 취약점

"기본적으로 안전함"을 모토로 삼는 OpenBSD는 방화벽과 핵심 인프라에서 널리 쓰이는 OS인데  27년 된 원격 충돌(Remote Crash) 취약점이 발견됐어요. 물론 지금은 패치 완료된 상태라고 합니다.

 

Linux 커널 — 일반 사용자 → 기기 전체 장악

Linux 커널에서 여러 취약점을 연쇄적으로 연결해서, 일반 사용자 권한으로 시작해 기기 전체를 장악할 수 있는 공격 루트를 자율적으로 완성했습니다.

이 모든 걸 "이 프로그램에서 보안 취약점을 찾아달라" 프롬프트 하나로, 인간 개입 없이 자율 수행했다는 게 더 제일 놀라운 부분입니다.

---

Mythos는 왜 공개하지 않았나?

Anthropic은 Mythos Preview를 일반에 공개하지 않기로 했습니다. 이유는 단순합니다.

방어에 쓸 수 있으면, 공격에도 똑같이 강력하게 작동한다.

 

보안 교육을 전혀 받지 않은 Anthropic 내부 엔지니어도, 야간에 RCE(원격 코드 실행) 취약점 탐색을 요청하면 다음 날 아침 완성된 익스플로잇을 받을 수 있을 정도라고 하니 엄청 강력한 거시죠.

사실 이 모델의 존재는 공식 발표 전에 이미 유출로 세상에 알려졌었습니다.. 2026년 3월 말, 보안 연구자들이 Anthropic CMS에서 3,000개의 내부 파일이 공개 접근 가능 상태임을 발견했는데 그 안에 "지금까지 개발한 모델 중 단연 가장 강력한 AI"라고 묘사된 Mythos 초안 문서가 포함돼 있었습니다.

---

참여사 : 드림팀급 컨소시엄

Anthropic이 모은 런치 파트너 12개사 명단은 아래와 같습니다.

 

분야	참여 기업
클라우드/인프라	AWS, Microsoft, Google
반도체/하드웨어	NVIDIA, Broadcom, Apple
사이버보안	CrowdStrike, Palo Alto Networks, Cisco
금융	JPMorganChase
오픈소스	Linux Foundation

여기에 40개 이상의 추가 기관까지 더해 총 50여 개 조직이 참여한다고 합니다.

파트너사 담당자들이 한 말들

• CrowdStrike CTO: "취약점 발견에서 익스플로잇까지 걸리는 시간이 몇 달에서 몇 분으로 줄었다"
• AWS CISO: "매일 400조 건 이상의 네트워크 플로우를 위협 분석 중 — AI 없이는 이 규모의 방어가 불가능하다"
• Cisco CSTO: "AI 역량이 중요 인프라 보호의 긴박성을 근본적으로 바꾸는 임계점을 넘었다"

---

얼마나 큰 프로젝트인가?

항목	금액
모델 사용 크레딧 (파트너 제공)	최대 $1억 (약 1,430억 원)
오픈소스 보안 단체 기부	$400만 (약 57억 원)

기부금 배분

• Linux Foundation 산하 Alpha-Omega + OpenSSF: $250만
• Apache Software Foundation: $150만

---

사이버보안 판도가 바뀌는 것인가?

취약점 무기화 속도의 변화

시기취약점 발견	→ 익스플로잇까지
2018년	평균 771일
2024년	4시간 미만
2026년 이후 전망	1시간 이내

이미 엄청 빨라졌는데, AI로 더 빨라진다는 것인데요 보안영역 관점에서는 정말 숨막히는 변화입니다.

 

 

분야변화	방향
사이버 보험	AI 취약점 조치 미이행 시 보험금 거절 조항 신설
보안 관제	정기 점검 → AI 에이전트 기반 24/7 상시 관리
보안 인력	취약점 발굴 → AI 패치 검증·정책 결정 역할로 전환
국가 전략	제로데이 축적(Hoarding) → 빠른 선점·패치 경쟁

---

시사점

Project Glasswing이 긍정적인 이야기만 있는 건 아닙니다. 보안 업계에선 이런 시선도 있다고 하네요.

 

PR 스턴트 논란
Anthropic의 IPO 추진(2026년 10월 예상) 타이밍과 Broadcom과의 대규모 컴퓨팅 계약 발표가 동시에 이뤄졌는데요 "기술 이니셔티브인지, 마케팅 전략인지" 묻는 목소리도 있죠.

 

오픈소스 메인테이너 과부하
AI가 취약점을 수천 개 발견해도, 실제로 수정하는 건 소규모 자원봉사 팀이라고 합니다. $400만 기부가 방향은 맞지만, AI가 쏟아내는 보고서 양을 따라잡기엔 역부족이라는 지적이 있습니다.

 

접근 불평등
강력한 도구가 빅테크 기업들에게 먼저 돌아가는 구조라, 중소 개발사나 오픈소스 프로젝트는 여전히 불리한 위치에 놓일 수 있다는 우려도 있습니다. 결국 양극화 인걸가요?

---

Thoughts

솔직히 말하면, 이번 발표는 AI가 "도구"에서 "주체"로 넘어가는 신호탄처럼 느껴졌습니다. 16년, 27년 묵은 취약점을 찾아내는 AI가 이미 존재한다는 것 — 그리고 그게 방어용으로도, 공격용으로도 쓸 수 있다는 것 — 이 사실이 보안 업계만의 이야기가 아니라 우리 모두의 이야기가 됐다는 생각이 들어요. 앞으로 Anthropic이 90일 내 발표할 공개 보고서가 기대되는데요, 실제로 어떤 취약점들이 발견됐는지, 오픈소스 생태계에 어떤 변화가 생기는지, 계속 지켜볼 필요가 있는것 같습니다.

---

** 개인 공부를 위한 리서치와 이를 기반한 개인의견이 담긴 글이라, 정확하지 않을 수 있습니다. 많은 고견 부탁드립니다.