Anthropic의 Claude Mythos Preview became the first AI model to complete a full simulated corporate network attack는 UK AI Security Institute(AISI)에 따르면 이전 어느 AI 시스템도 해결하지 못했던 전문가 수준의 사이버보안 과제의 73%를 해결했다.
AISI 사이버 평가
영국 정부 과학·혁신·기술부 산하 연구 기관인 AISI는 Anthropic이 4월 7일 해당 모델을 발표한 이후 ran 두 차례의 테스트를 수행했다.
회사는 Claude Mythos를 광범위하게 출시하지 않고, 대신 보안 연구 업체들에 제한된 접근 권한만 granting했다.
캡처 더 플래그 평가에서 Claude Mythos는 전문가 수준 과제에서 73%의 성공률을 기록했다.
2025년 4월 이전까지 어떤 모델도 이 과제들을 해결하지 못했다. AISI는 또한 인간 전문가가 대략 20시간 정도 걸리도록 설계된, “The Last Ones”라는 32단계 기업 네트워크 공격 시뮬레이션을 구축했다. Claude Mythos는 10번의 시도 중 3번에서 전체 시뮬레이션을 완수했고, 평균 32단계 중 22단계를 수행했으며, 이는 차선의 성능을 보인 Claude Opus 4.6의 16단계보다 높은 수치였다.
“Mythos Preview가 한 사이버 레인지에서 거둔 성과는, 네트워크 접근 권한이 이미 확보된 상황에서 규모가 작고 방어가 허술하며 취약한 엔터프라이즈 시스템을 자율적으로 공격할 능력이 최소한은 있다는 점을 보여준다”고 AISI는 밝혔다.
또 읽어보기: Crypto Funds Pull $1.1B In Best Week Since January As Risk Appetite Returns
제로데이 익스플로잇
Anthropic의 레드팀은 사용자가 명시적으로 지시할 경우, Claude Mythos가 주요 운영체제 전반과 선도적인 웹 브라우저 전반에서 제로데이 취약점을 탐지하고 악용할 수 있다는 사실을 발견했다. 회사 측은 이 모델이 찾아낸 취약점의 99% 이상이 여전히 패치되지 않은 상태라고 밝혔다.
“우리가 여기에서 보고할 수 있는 내용에는 한계가 있다. 세부 정보를 공개하는 것은 무책임한 일이 될 것”이라고 Anthropic은 말했다.
이 모델의 역량은 이미 정책 결정권자들의 reached 관심 범위에 들어갔다.
로이터에 따르면, 미국 재무장관 스콧 베슨트와 연방준비제도 의장 제롬 파월은 이 모델과 연관된 잠재적 사이버 리스크를 논의하기 위해 주요 은행 CEO들과 긴급 회의를 held했다.
Anthropic의 보안 대응
Anthropic은 모델 발표와 동시에 Project Glasswing을 시작하며, Claude Mythos를 활용해 핵심 소프트웨어를 보호하려는 노력이라고 설명했다. 회사는 이 이니셔티브를, 보안 팀이 AI 기반 공격자보다 앞서 나가야 하는 시대를 대비하기 위한 준비 작업으로 규정했다. AISI는 조직들이 정기적인 패치, 엄격한 접근 통제, 구성 강화, 포괄적인 로그 수집 등 기초적인 사이버보안 조치를 우선시할 것을 권고했다.
4월 7일 발표는 AI의 사이버보안 역할에 대한 우려가 고조된 지 수개월이 지난 뒤에 나왔다. 기존 프런티어 모델들은 제한적인 공격 능력만을 보여왔으며, Claude Mythos 이전까지 전문가 수준 CTF 벤치마크를 통과하거나 다단계 공격 시뮬레이션을 완수한 모델은 없었다.