🔍인사이트

AI 모델 Mythos, curl 보안 취약점 발견 논란

Anthropic의 AI 모델 Mythos가 curl에서 보안 취약점을 찾았지만, 5건 중 실제로는 1건만 유효한 것으로 확인되어 AI 보안 분석의 한계를 보여줌

#AI보안#curl#Mythos#취약점분석

Mythos의 curl 보안 분석 결과

Anthropic의 새로운 AI 모델 Mythos가 유명한 오픈소스 프로젝트 curl의 보안 취약점을 분석했습니다. Anthropic은 Mythos가 소스 코드의 보안 결함을 찾는 데 "위험할 정도로 좋다"고 주장했지만, 실제 결과는 다소 실망스러웠습니다.

▸

보고된 취약점: 5개

▸

실제 유효한 취약점: 1개 (심각도 낮음)

▸

오탐(False Positive): 3개

▸

일반 버그로 분류: 1개

▸

총 보고된 버그: 약 20개

확인된 취약점은 CVE로 등록되어 2026년 6월 말 curl 8.21.0과 함께 공개될 예정입니다.

curl 프로젝트는 Mythos 이전에도 여러 AI 기반 보안 도구를 활용해왔습니다:

▸

AISLE

▸

Zeropath

▸

OpenAI Codex Security

▸

GitHub Copilot

▸

Augment Code

이들 도구는 최근 8~10개월 동안 200~300개의 버그 수정에 기여했으며, 실제 취약점으로 확인된 CVE도 12개 이상 발견했습니다.

curl 프로젝트는 AI 분석 외에도 다양한 보안 방법을 병행합니다:

▸정적 코드 분석기

▸까다로운 컴파일러 옵션

▸수년간의 퍼징(Fuzzing)

▸사람의 코드 리뷰 (AI는 보조 수단)

curl의 리드 개발자 Daniel Stenberg는 "AI 리뷰는 사람의 리뷰를 대체하지 않고 추가 검토 수단으로 쓰인다"며 신중한 입장을 보였습니다.

이번 Mythos 스캔은 curl git 저장소의 특정 커밋을 대상으로 진행되었습니다:

▸

분석 코드량: 17만 8천 줄

▸

대상 디렉터리: `src/`와 `lib/`

Mythos의 curl 분석 결과는 AI 보안 도구의 가능성과 한계를 동시에 보여줍니다. 5건 중 1건만 실제 취약점으로 확인되었다는 점은 AI 도구가 아직 오탐률이 높다는 것을 의미합니다.

Daniel Stenberg는 "curl 결과만으로 Mythos가 특별히 위험한 수준이라는 증거는 약하다"고 평가했습니다. AI 보안 도구는 유용한 보조 수단이지만, 사람의 검증과 다양한 보안 절차가 함께 필요함을 보여주는 사례입니다.