Cloudflare는 월요일, Anthropic's unreleased Mythos Preview 모델이 자사 저장소 50개 이상에서 발견한 버그들을 연쇄적으로 엮어 실제 동작하는 익스플로잇으로 만들었다고 확인했다.
Cloudflare Project Glasswing 분석 결과
이 사실은 Cloudflare 최고보안책임자(CSO)인 Grant Bourzikas가 올린 블로그 글에서 공개됐다. 그는 자신의 팀이 Mythos Preview를 런타임, 엣지 데이터 경로, 프로토콜 스택 전반에 걸친 프로덕션 코드에 pointed했다고 밝혔다. Cloudflare는 Anthropic의 방어 보안 파트너 초청 프로그램인 Project Glasswing에 합류했다. Bourzikas는 이 모델을 “실질적인 진전”이라고 평가하며, 경쟁 모델에 없는 두 가지 능력을 언급했다.
Mythos는 여러 개의 작은 공격 프리미티브를 연결해 작동하는 개념 증명 익스플로잇을 만들었다. 또한 모델은 별도의 테스트 환경에서 익스플로잇 코드를 컴파일하고 실행한 뒤, 실행이 실패하면 가설을 revised하는 방식으로 스스로 수정했다.
이 글은 프리뷰 모델의 거부 응답이 일관되지 않았다는 점도 지적했다.
한 사례에서 Mythos는 특정 코드베이스에서 여러 메모리 버그를 확인한 뒤에도 데모용 익스플로잇 작성을 거부했지만, 별도의 세션에서 같은 작업을 다른 식으로 요청하자 이를 수행했다.
Also Read: Crypto Funds Bleed $1.07B As Iran Tensions End Six-Week Inflow Run
멀티 에이전트 하니스, 단일 스캐너보다 우위
Cloudflare에 따르면 일반적인 범용 코딩 에이전트 하나를 저장소에 적용하는 방식은 취약점 연구에 적합하지 않았다. 대신 Bourzikas는 약 50개의 에이전트를 병렬로 좁은 작업에 투입하는 다단계 하니스를 구축했다. 이 파이프라인은 정찰, 취약점 탐색, 적대적 검증, 중복 제거, 도달 가능성 추적을 수행한다.
각 발견 사항이 트리아지 대기열에 들어가기 전에, 독립적인 에이전트가 이를 반박하려 시도해 C와 C++처럼 메모리 안전성이 떨어지는 언어로 작성된 코드에 흔한 오탐을 줄인다. Anthropic는 Project Glasswing을 통해 모델 크레딧 1억 달러와, 오픈소스 보안 단체에 대한 400만 달러 기부를 committed한 상태다.
Mythos Preview는 일반에 공개되지 않을 예정이다.
암호화폐 스마트컨트랙트, AI 익스플로잇 파도 직면
Cloudflare의 이번 결과는 온체인 손실이 커지는 가운데 나왔다. Verus-Ethereum bridge lost $11 million은 월요일 크로스체인 공격으로 1,100만 달러를 잃었고, 공격 수익은 5,402개의 Ether (ETH)로 스왑되었다.
Anthropic 연구진은 과거에 AI 에이전트가 실시간으로 운영 중인 컨트랙트를 스스로 분석해 이익이 남는 방식으로 익스플로잇할 수 있음을 showed한 바 있다. 한 실험에서는 모델이 배포된 2,849개 컨트랙트를 스캔해, 3,476달러의 컴퓨팅 비용으로 3,694달러 규모의 익스플로잇을 만들어냈다.
CertiK는 5월 15일, 구형 스마트컨트랙트가 이제 AI 기반 사냥 물결의 중심에 놓여 있다고 warned했다. DeFi 프로토콜은 4월 약 20일 동안 6억 500만 달러 이상을 잃었는데, 여기에는 4월 19일 발생한 2억 9,300만 달러 규모의 $293 million KelpDAO drain도 포함된다. 소셜 엔지니어링으로 인한 손실은 1분기 전체에 걸쳐 추가로 3억 600만 달러에 달했다.
Read Next: Iran Settles Hormuz Shipping Cover In Bitcoin, Eyes $10B Haul