Anthropic의 Claude Mythos Preview became the first AI model to complete a full simulated corporate network attack는 UK AI Security Institute(AISI)에 따르면, 이전 어떤 AI 시스템도 해결하지 못했던 전문가급 사이버보안 과제의 73%를 풀어냈다.
AISI 사이버 평가
영국 정부 과학·혁신·기술부 산하 연구 기관인 AISI는 Anthropic이 4월 7일 해당 모델을 발표한 뒤, 모델에 대해 ran 두 차례 테스트를 진행했다.
회사는 Claude Mythos를 일반에 공개하지 않고, 대신 보안 연구 회사들에만 granting 제한적인 접근을 허용했다.
캡처 더 플래그(Capture-the-Flag) 평가에서 Claude Mythos는 전문가급 과제에서 73%의 성공률을 기록했다.
2025년 4월 이전까지는 어떤 모델도 이 과제들을 해결하지 못했다. AISI는 또 “The Last Ones”라는 이름의 32단계 기업 네트워크 공격 시뮬레이션을 구축했는데, 이는 인간 전문가가 수행하면 약 20시간이 소요되도록 설계되었다. Claude Mythos는 10번 시도 중 3번에서 전체 시뮬레이션을 완수했으며, 평균 32단계 중 22단계를 수행했다. 이는 차선의 성능을 기록한 Claude Opus 4.6의 16단계보다 높은 수치다.
AISI는 “Mythos 프리뷰가 한 사이버 레인지에서 보여준 성공은, 네트워크 접근 권한이 확보된 상황에서 방어가 미약하고 취약한 소규모 엔터프라이즈 시스템을 자율적으로 공격할 수 있는 역량을 최소한 갖추었다는 것을 시사한다”고 밝혔다.
또 읽어보기: Crypto Funds Pull $1.1B In Best Week Since January As Risk Appetite Returns
제로데이 취약점 공격
Anthropic 자체 레드팀은 Claude Mythos가 사용자가 명시적으로 지시할 경우, 주요 운영체제와 대표적인 웹 브라우저 전반에서 제로데이 취약점을 탐지하고 악용할 수 있음을 발견했다. 회사 측은 모델이 발견한 취약점의 99% 이상이 여전히 패치되지 않은 상태라고 밝혔다.
“여기서 보고할 수 있는 내용에는 한계가 있습니다. 세부 정보를 공개하는 것은 무책임한 일일 것입니다.”라고 Anthropic은 설명했다.
이 모델의 역량은 이미 정책 결정권자들 사이에도 reached 영향을 미쳤다.
로이터에 따르면, **미 재무장관 스콧 베센트(Scott Bessent)**와 연방준비제도(Fed) 의장 **제롬 파월(Jerome Powell)**은 해당 모델과 관련된 잠재적 사이버 리스크를 논의하기 위해 주요 은행 CEO들과 held 긴급 회의를 열었다.
Anthropic의 보안 대응
Anthropic은 모델 발표와 함께 Project Glasswing을 시작하며, 이를 Claude Mythos를 활용해 중요 소프트웨어를 보호하려는 노력이라고 설명했다. 회사는 이 이니셔티브를, 보안팀이 AI 기반 공격자들보다 한발 앞서 있어야 하는 시대를 대비하는 조치로 규정했다. AISI는 조직들이 정기적인 패치 적용, 엄격한 접근 통제, 설정 강화, 포괄적인 로그 수집 등 기초적인 사이버보안 조치를 우선순위에 둘 것을 권고했다.
4월 7일 발표는 AI의 사이버보안 역할을 둘러싼 우려가 수개월간 고조된 끝에 나왔다. 이전의 프런티어 모델들은 제한적인 공격 능력만을 보여왔으며, Claude Mythos 이전에는 어떤 모델도 전문가급 CTF 벤치마크를 통과하거나 다단계 공격 시뮬레이션을 완수하지 못했다.