앤트로픽(Anthropic) 보안 연구팀이 대규모 언어 모델이 소프트웨어 보안 패치를 분석해 실제 작동하는 익스플로잇을 만들어내기까지 걸리는 시간을 체계적으로 측정한 연구를 발표했다. 연구 결과에 따르면 기존에 수 주가 걸리던 패치 역분석 작업이 AI를 활용할 경우 단 몇 시간 안에 가능한 수준에 이른 것으로 나타났다.
연구팀은 파이어폭스(Firefox) 자바스크립트 엔진 스파이더몽키(SpiderMonkey)의 보안 패치 18개와 2026년 1~2월 윈도우 패치 화요일 커널 취약점 21개를 대상으로 클로드(Claude) 계열 모델 여섯 종을 시험했다. 파이어폭스 테스트에서 미공개 모델인 Mythos Preview는 18개 중 14개 취약점을 확인했으며, 첫 번째 결과는 12분 만에 나왔고 13개가 40분 이내에 완료됐다. 완전한 코드 실행 익스플로잇의 경우 Mythos Preview는 약 12시간 만에 8개를 만들어냈고, 첫 익스플로잇은 패치 공개 후 1시간 이내, 파이어폭스 148이 배포되기 18일 전에 완성됐다. 소스 코드가 공개되지 않은 윈도우 커널 테스트에서는 Mythos Preview가 21개 중 18개 취약점을 6시간 이내에 발견했고(API 비용 약 2,200달러), 완전한 권한 상승 체인 8개를 총 약 15,700달러에 구축했다.
연구팀은 마이크로소프트가 ‘악용 가능성 낮음’으로 분류한 취약점 14개 중 13개에서 Mythos Preview가 성공을 거뒀다고 밝혔다. 이 분류 기준이 인간 보안 연구자를 대상으로 설계된 것이라, Mythos급 모델이 광범위하게 보급되면 재보정이 필요하다는 지적이다. 연구팀은 또한 공개된 클로드 모델도 안전 필터를 해제하면 유사한 익스플로잇 개발 능력을 갖추고 있음을 인정했다. 월간 배포 주기와 단계적 업데이트에 기반한 기존 패치 전략의 시간적 가정이 더 이상 유효하지 않다는 것이 연구의 핵심 결론이며, ‘N-Day’ 대신 ‘N-Hour’라는 개념이 현실에 더 부합한다고 제안했다. 메모리 안전 언어인 러스트(Rust) 도입이나 하드웨어 수준의 취약점 원천 차단처럼 근본적인 접근이 더 지속 가능한 해법이라고 덧붙였다.
