클로드 개발자 도구에서 포착된 ‘Mythos 1’: 앤트로픽의 비공개 보안 AI와 Project Glasswing의 실체

여기에는 주요 기술 기업과 오픈소스 인프라 유지 조직들이 포함된다. 예를 들어 AWS, 구글, 마이크로소프트, 엔비디아, 시스코, 크라우드스트라이크 등 여러 대형 기술 기업이 협력 파트너로 알려져 있다.

현재까지 프로그램은 약 50개 조직 규모로 확장된 것으로 전해진다.

이들의 목표는 간단하다. 공격자가 이런 AI 능력을 갖기 전에, 먼저 핵심 소프트웨어를 최대한 안전하게 만드는 것이다.

Mythos가 이미 찾아낸 취약점

제한된 환경에서만 사용되고 있음에도 Mythos는 상당한 성과를 보여줬다.

앤트로픽은 Project Glasswing 협력을 통해 이미 1만 건 이상의 높은 위험도(high 또는 critical) 취약점을 발견했다고 밝혔다.

보고된 능력은 다음과 같다.

• 주요 소프트웨어에서 이전에 알려지지 않았던 제로데이 취약점 발견
• 모든 주요 운영체제와 웹 브라우저에서 보안 결함 식별
• 취약점 탐지와 익스플로잇 생성 작업을 대규모로 자동화

일부 벤치마크 보고에 따르면 Mythos는 실제 소프트웨어 문제 해결 능력을 평가하는 SWE‑bench Verified에서 약 93.9% 점수를 기록한 것으로 전해졌다. 다만 이 수치는 모든 공식 자료에서 동일하게 확인된 것은 아니라는 점이 지적된다.

이러한 능력 때문에 Mythos는 ‘듀얼 유스(dual‑use)’ 기술로 분류된다. 방어 측면에서는 매우 유용하지만, 잘못 사용되면 공격 도구로도 활용될 수 있기 때문이다.

왜 개발자 도구에서의 목격이 화제가 됐나

Mythos는 원래 Project Glasswing 내부에서만 접근 가능한 모델이기 때문에 일반 개발 환경에서 이름이 보였다는 사실 자체가 이례적이다.

업계에서는 이를 두고 몇 가지 가능성을 추측한다.

• 앤트로픽이 Mythos를 Claude 인프라와 통합하는 작업을 진행 중일 가능성
• 내부적으로 Claude API 또는 개발자 플랫폼과 연결된 상태일 가능성
• 장기적으로 코딩 도구나 보안 분석 워크플로에 통합될 준비 단계일 가능성

다만 “Mythos 1”이 정확히 어떤 경로로 개발자 도구에서 발견됐는지는 아직 명확하게 확인되지 않았다.

정부의 관심과 규제 논의

이 모델은 기술적 성능뿐 아니라 정책 및 국가안보 측면에서도 관심 대상이 되고 있다.

미국 정부 기관들은 취약점 탐지와 공격 가능성을 동시에 가진 AI 모델에 대해 감독과 배포 제한 필요성을 논의하고 있는 것으로 알려졌다.

일부 정부 관계자들은 접근 대상을 확대하려는 계획에 반대하기도 했다. 이유는 두 가지로 제시된다.

• 악용될 경우 대규모 사이버 공격에 사용될 위험
• 제한된 컴퓨팅 자원이 정부 사용에 영향을 줄 수 있다는 우려

이러한 이유로 Mythos는 높은 상업적 가치에도 불구하고 여전히 제한된 접근 정책을 유지하고 있다.

AI 보안 시대의 전환점

Mythos가 보여주는 변화는 단순히 "코드를 잘 작성하는 AI"를 넘어선다.

새로운 모델들은 이제

• 거대한 소프트웨어 프로젝트를 분석하고
• 취약점을 찾고
• 실제 공격 시나리오를 생성하는

완전한 사이버보안 연구 자동화에 가까운 능력을 보이기 시작했다.

앤트로픽이 이를 Project Glasswing 내부에서만 운영하는 것은 이러한 위험성을 인식하고 있기 때문이다. 하지만 최근 개발자 도구에서의 목격 사례는 미래에는 이런 보안 AI가 개발 플랫폼에 직접 통합될 가능성을 보여주는 신호일 수도 있다.

만약 그런 방향으로 발전한다면, Mythos 같은 모델은 전 세계 소프트웨어 취약점 발견 방식과 보안 대응 속도를 근본적으로 바꿀 수 있는 기술이 될 가능성이 있다.