별도의 그러나 연관된 평가에서, 미토스는 마이크로소프트가 "악용될 가능성이 낮음"으로 분류한 14개의 윈도우 버그 중 13개를 발동시켰고, 그중 하나를 완전한 시스템 제어 상태까지 도달시켰습니다 . 마이크로소프트의 '낮은 악용 가능성' 등급은 현재 심각도가 높은(Critical) 버그 중에서도 80~90%를 차지하기 때문에, 보안 팀이 긴급하게 취급해야 하는 취약점의 범위가 대략 5배 확장되어야 할 수도 있음을 의미합니다
. 수 주의 전문 인력의 노동이 필요했던 세상에 맞춰 설계된 이 등급 시스템은, 이제 몇 분 만에 동일한 작업을 수행할 수 있는 자율 AI의 위협을 과소평가하고 있습니다.
앤트로픽의 공개 자료에서 가장 불편한 수치 중 하나는 비용입니다. 개별 제로 데이(Zero-Day) 취약점 발견 실행 비용은 성공 건당 50달러 미만입니다. 전체 OpenBSD 스캐닝 캠페인은 수천 번의 실행에 약 2만 달러가 소요되었으며, OpenBSD의 TCP 스택에서 27년 된 버그를 포함한 여러 심각한 취약점을 밝혀냈습니다 . 리눅스 커널 N-Day 루트 익스플로잇은 개당 2,000달러 미만의 비용으로 제작되었습니다
. 앤트로픽의 전체 레드 팀 캠페인은 전체 코드베이스 스윕(sweep)에 2만 달러를 훨씬 밑돌았습니다
.
이는 국가 기관 수준의 예산이 아닙니다. 개인 개발자 혹은 소규모 팀의 예산입니다. 이는 AI 역량이 급격히 상승하는 바로 그 시점에 정교한 취약점 발견 및 익스플로잇 개발에 대한 진입 장벽이 극적으로 낮아졌음을 의미합니다 .
앤트로픽은 2026년 4월 7일~8일에 Claude Mythos Preview를 공개했습니다. 이 최첨단 모델은 모든 주요 운영체제와 웹 브라우저에서 제로 데이 취약점을 자율적으로 발견하고 악용하며, 수십 년간의 전문가 리뷰를 거친 결함을 포함하여 수천 개의 높은 심각도의 버그를 찾아냈습니다 . 극단적인 이중 용도 위험성 때문에, 앤트로픽은 미토스를 공개적으로 출시하지 않았습니다. 대신, AWS, 애플, 시스코, 구글, 마이크로소프트, JP모건, 리눅스 재단을 포함한 약 50개의 파트너 조직으로 처음 제한된 Project Glasswing이라는 통제된 사이버 보안 이니셔티브를 만들었습니다
.
2026년 6월 기준으로 Glasswing은 호주, 영국, 여러 EU 및 아시아 국가의 국가 보안 기관을 포함하여 15개국 이상에서 약 150개 조직으로 확장되고 있습니다 . 파트너는 연구 결과가 공개되기 전 90일간의 독점 패치 적용 기간을 부여받습니다
. 2026년 5월 말까지 미토스는 시스템적으로 중요한 소프트웨어 전반에서 10,000개 이상의 높은 심각도 또는 심각한 취약점을 발견했습니다
.
모질라(Mozilla)와의 협력만으로도 Firefox 150에서 271개의 제로 데이 취약점이 발견되어 수정되었는데, 이는 브라우저 역사상 최대 규모의 단일 보안 수정 배치였습니다 .
산업계의 대응: 시스코는 주요 기술 및 사이버 보안 회사들과 함께 초기 Glasswing 파트너 집단에 합류하여 자체 소프트웨어와 오픈 소스 소프트웨어의 방어적 취약점 발견을 위해 미토스에 대한 조기 접근 권한을 얻었습니다 . 모질라와의 내부 파트너십은 미토스의 전체 출시보다 앞서 있었으며, 271개의 제로 데이가 패치된 결과는 책임감 있게 사용될 때의 방어적 잠재력을 입증했습니다
.
트럼프 행정부: 정책 대응은 격동적이었습니다. 2026년 4월, 숀 케언크로스(Sean Cairncross) 국가사이버국장(National Cyber Director)이 여러 기관에 대한 지원 활동을 주도했지만, CISA(미국 사이버보안 및 인프라 보안국)에 대한 예산 삭감과 내부 정치적 충돌로 인해 조정이 복잡해졌습니다 . 5월 21일, 트럼프 대통령은 AI 연구소가 공개 출시 90일 전에 정부 검토를 위해 최첨단 모델을 제출하도록 요구할 계획이었던 행정 명령을 폐기했습니다. 기자들에게 미국의 대중국 우위를 늦추는 어떤 것도 원하지 않는다고 말했습니다
.
2주도 채 지나지 않은 6월 3일, 트럼프는 AI 혁신 및 사이버 보안에 관한 수정된 행정 명령에 서명하여, 새로운 최첨단 모델에 대한 30일의 자발적 검토 프레임워크를 만들었습니다. 이는 거부된 90일 의무화보다 가벼웠지만, 현상 유지가 불충분하다는 점을 인정한 것이었습니다 .
한편, 재무부, 연방준비제도(Fed), 관리예산처(Office of Management and Budget)를 포함한 행정부 기관들은 4월의 경고 이후 미토스에 대한 접근 권한을 확보하기 위해 서둘렀으며, 앤트로픽 기술 사용 중단에 대한 트럼프의 초기 지시에도 불구하고 재무부는 긴급 브리핑을 받았습니다 .
의회: 오픈AI(OpenAI)와 앤트로픽은 하원 국토안보위원회(House Homeland Security committee)와 AI 기반 사이버 위협에 관한 비공개 브리핑을 가졌으며, 이는 의회 직원들을 대상으로 한 최초의 전용 AI 사이버 보안 위협 브리핑 중 일부로 기록되었습니다 .
핵심적인 시사점은 분명합니다. 적어도 최첨단 AI에 접근할 수 있는 공격자들에 맞서, 패치 출시가 방어자들에게 몇 주의 여유 시간을 벌어주던 시대는 끝났습니다. 비대칭성은 극명합니다. 기업은 여전히 패치하는 데 약 70일이 걸리지만, AI는 동일한 결함을 1시간 이내에 무기화할 수 있습니다. 이제 조직들은 어떤 취약점을 긴급한 것으로 간주할지, 패치 우선순위를 어떻게 정할지, 그리고 익스플로잇 개발이 빠르고, 저렴하고, 자동화된 세상에서 취약점 관리 주기가 유지될 수 있을지에 대해 재고하도록 강요받고 있습니다.