Anthropic의 Claude Mythos 모델은 기밀 정보 테스트 동안 고도로 민감한 미국 정부 컴퓨터 시스템의 보안 허점을 드러내는 데 몇 시간밖에 걸리지 않았다고 한 관료가 밝혔다.
핵심 요점:
- 한 관료에 따르면, Anthropic의 Mythos AI는 정보 테스트 도중 몇 시간 만에 미국 정부의 기밀 시스템 취약점을 찾아냈다.
- 취약점을 발견하는 것과 이를 실제로 악용하는 것은 다르다고 관료는 경고했다.
- 100명 이상의 사이버보안 전문가들이 Mythos와 Fable 5를 오프라인으로 만든 수출 규제 철회를 정부에 요구하고 있다.
미토스 테스트, 정부 기밀 시스템의 결함 드러내
민감한 작업과 관련해 익명을 요구한 한 미국 관리는, 정보 기관들이 Project Glasswing이라는 프로그램 하에 이 회사와 함께 해당 실험을 진행했다고 말했다. 이 이니셔티브는 주요 기술 기업과 기타 업체들을 모아, 치명적인 결함이 공공 안전과 경제에 심각한 피해를 끼치기 전에 핵심 소프트웨어를 강화하는 것을 목표로 했다. Anthropic은 Mythos의 공개 출시는 보류한 채, 선택된 일부 기업에만 먼저 접근 권한을 부여해 공격자보다 앞서 치명적인 버그를 찾아내고 패치할 수 있도록 했다.
버지니아 출신 민주당 상원의원 **마크 워너(Mark Warner)**는 6월 11일 상원 은행·주택·도시위원회 청문회에서 처음으로 이 테스트를 언급했다. 그는 이 도구가 수주가 아닌 수시간 만에 거의 모든 정부 기밀 시스템에 침투했다고 말하며, 이 설명을 국가안보국(NSA)과 미 사이버사령부를 이끄는 **조슈아 러드(Joshua Rudd)**의 발언에 근거한 것이라고 덧붙였다.
취약점을 식별하는 것은 그것을 실제로 악용하는 것과 동일하지 않다고, 그 관리는 경고했다.
관련 기사: Anthropic Perp 매도는 상장 전 크립토 투자에 대한 경고인가?
사이버보안 전문가들, 수출 규제에 이의 제기
Adobe와 Nvidia 인사를 포함한 100명 이상의 사이버보안 리더들은 정부가 수출 규제를 철회하고, AI 위험을 평가하는 과정에서 투명성을 확보할 것을 요구했다. 이들은 Mythos가 소프트웨어 결함을 찾아내고 무기화하는 데 매우 유능하지만, 경쟁사 및 오픈소스 모델을 활용해 같은 작업을 수행하는 사례가 많기 때문에 결코 유일한 존재는 아니라고 평가했다. 또한 중국의 시스템은 최고 수준의 미국 모델을 불과 몇 개월 차이로 뒤쫓고 있다며, 이런 상황에서의 제재 시기가 특히 위험하다고 주장했다.
이러한 반발은 6월 12일 내려진 수출 지침에 뒤이어 나왔다. 이 지침은 Mythos 5와 보다 폭넓게 배포되는 Mythos 계층인 Fable 5에 대해 외국 국적자의 접근을 금지했다. Anthropic은 정부 조치에 대해 보안상 근거가 없다고 보지만, 이를 준수하기 위해 모든 고객에 대해 두 모델을 비활성화했다.
이 지침은 도널드 트럼프 대통령이 서명한 행정명령 이후에 나왔다. 해당 명령은 가장 진보된 AI 시스템을 출시 전 최대 한 달간 연방 정부가 심사할 수 있는 체계를 마련했다. 명령에 따르면 개발자의 참여는 자발적이지만, 안전을 중시하는 이 회사와의 긴장은 계속해서 높아지고 있다.
충돌 이전부터 쌓인 미토스의 사이버 실적
이 모델은 올봄 등장 당시, 숙련된 인간 연구자조차 놓치는 소프트웨어 결함을 찾아내는 능력이 문서로 확인된 상태였다. 영국의 AI 보안 연구소는 전문가 수준의 ‘캡처 더 플래그’(CTF) 과제를 대상으로 한 평가에서, 그 어떤 시스템도 이전에 풀지 못했던 문제를 Mythos가 73%나 통과했다며 해당 모델을 인증했다. Mozilla 역시 초기 버전의 모델이 Firefox에서 271개의 취약점을 발견했으며, 이를 브라우저 150번째 릴리스에서 패치했다고 별도로 공개했다.