Anthropic은 지난주 높은 수준의 사이버 보안 취약점을 찾아내는 데 능숙한 인공 지능 모델인 Claude Mythos Preview를 발표하면서 업계 전반에 패닉을 일으켰습니다.
이 모델은 그 성과 중에서 보안으로 유명한 운영 체제인 OpenBSD에서 현재 패치된 약점을 발견했으며, Anthropic은 이 취약점이 27년 동안 발견되지 않았다고 말했습니다.
또한 회사에 따르면 오픈 소스 및 비공개 소스 프로그램에서 “심각도가 높고 심각한 취약점 수천 개”를 추가로 발견했습니다.
이후 기술 전문가와 기타 전문가들은 대규모 언어 모델이 사이버 보안을 혼란에 빠뜨릴 가능성에 대해 겁을 먹었지만 25년 경력의 한 업계 베테랑은 회의적이었습니다.
Contrast Security의 최고 정보 보안 책임자인 David Lindner는 Mythos가 수많은 문제를 찾는 데 도움을 줄 수 있지만 이것이 반드시 가장 중요한 문제는 아니라고 Fortune과의 인터뷰에서 말했습니다.
“우리는 취약점을 찾는 데 문제가 있었던 적이 없습니다. 우리는 매일 취약점을 찾습니다. 사실 우리가 고치지 못하는 취약점이 많이 있습니다.”라고 그는 말했습니다. “그래서 나는 그것이 정말로 아무것도 바꾸지 않는다고 생각합니다.”
Lindner는 Mythos를 발표하는 Anthropic의 블로그 게시물에서 모델이 발견한 취약점의 99% 이상이 패치되지 않았다고 주장하면서 약점은 수정하는 것보다 찾는 것이 더 쉽다고 지적했습니다.
보다 구체적으로 Mythos는 사이버 보안 전문가가 직면한 가장 큰 문제 중 하나인 사회 공학을 해결하는 데 거의 도움이 되지 않는다고 그는 말했습니다. 해커들은 여전히 기존 도구와 인공지능을 이용해 직원의 상사나 IT 직원을 사칭해 시스템에 접근할 수 있다고 그는 주장했다.
Anthropic은 Mythos가 너무 강력해서 공개적으로 출시되지 않을 것이며 Microsoft, Apple, Google과 같은 기술 회사뿐만 아니라 사이버 보안 회사 CrowdStrike 및 은행 JPMorgan Chase와 같은 다른 회사를 포함하여 40개 조직 그룹에서만 사용할 수 있으며 Project Glasswing이라는 노력을 통해 자체 보안 인프라를 개선하기 위해 이 기술을 사용할 수 있다고 말했습니다.
너무 많은 사람들이 이 모델에 접근할 수 있기 때문에 Lindner는 이 모델이 오랫동안 비밀로 유지되지 않을 것이라고 예측했습니다.
“비록 공개하지 않더라도 중국에서는 5~6개월 안에 버전이 나올 것이고, 1~2년 안에 오픈소스 버전이 나올 것입니다.”라고 그는 말했습니다.
그건 그렇고, Fortune은 회사가 공개적으로 접근 가능한 데이터베이스에 대규모 언어 모델에 대한 세부 정보를 남긴 보안 위반으로 인해 Mythos의 개발에 대해 처음으로 보고했습니다.
한편, 벤처 투자가인 Marc Andreessen은 Anthropic이 정말로 보안상의 이유로 Mythos의 출시를 지연하고 있는지, 아니면 일반 출시를 지원할 컴퓨팅 성능이 부족하기 때문인지에 대한 의문을 제기했습니다. Anthropic은 최근 빈번한 중단을 겪었으며 피크 시간 동안 사용자의 컴퓨팅 성능이 제한되었다고 이번 주말에 Wall Street Journal이 보도했습니다.
그럼에도 불구하고 다른 사이버 보안 전문가들은 Mythos와 사이버 보안을 재구성할 수 있는 잠재력에 여전히 주의를 기울이고 있습니다. 세인트루이스에 있는 의과대학의 최고 정보 책임자(CIO)이자 최고 정보 보안 책임자인 잭 루이스(Zach Lewis)는 Fortune과의 인터뷰에서 Mythos를 사용하면 악의적인 행위자, 심지어 코딩 경험이 거의 없는 사람도 시스템을 악용하는 것이 훨씬 쉬워진다고 우려합니다.
“위협 행위자는 이러한 시스템이 어떻게 작동하는지 이해하기 위해 코딩이나 소프트웨어 설계에 대해 알 필요도 없습니다(경험이 필요하지도 않습니다). 그들은 이를 수행할 수 있는 에이전트를 배포할 수 있습니다.”라고 그는 말했습니다.
Lewis에 따르면 조직을 위한 솔루션의 일부는 이미 하루에 수천 건은 아니더라도 수백 건의 악용 시도를 저지하고 있는 전략을 두 배로 늘리는 것일 수 있습니다.
여기에는 기존 취약점을 패치하고 직원이 악용할 수 없도록 권한을 엄격히 제한하는 것이 포함됩니다.
“그런 것들은 차단되어야 한다”고 그는 말했다.
