클라우드플레어는 Anthropic의 Claude Mythos Preview를 50개 이상의 내부·오픈소스 코드 저장소에 테스트한 결과, 여러 개의 낮은 위험도 버그를 연결해 실제 공격 경로(익스플로잇 체인)를 구성할 수 있음을 확인했다. 모델은 취약점을 찾는 데서 멈추지 않고 PoC(개념증명) 익스플로잇 코드를 작성하고 실행·수정하는 반복 과정을 통해 자동으로 공격 가능성을 검증했다.

Create a landscape editorial hero image for this Studio Global article: What did Cloudflare find when testing Anthropic’s Claude Mythos Preview on more than 50 internal and open-source code repositories, specific. Article summary: Cloudflare tested Mythos Preview as part of Project Glasswing against more than 50 of its own internal and open-source code repositories.. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "# Claude Mythos: Benchmark-Dominating AI with Real Risks. Claude Mythos Preview is Anthropic’s most powerful AI yet, outperforming benchmarks and uncovering critical vulnerabilitie" source context "Claude Mythos: Benchmark-Dominating AI with Real Risks" Reference image 2: visual subject "Artificial Intelligence (AI) company Anthropic announced a new cybersecurity initiative called **Project Gla
클라우드플레어(Cloudflare) 보안팀은 최근 **Anthropic의 보안 연구용 AI 모델 ‘Claude Mythos Preview’**를 실제 코드 환경에서 테스트했다. 이 실험은 Anthropic이 제한적으로 운영하는 사이버보안 프로그램 Project Glasswing의 일환으로 진행됐으며, 50개 이상의 내부 및 오픈소스 코드 저장소를 대상으로 모델의 취약점 분석 능력을 평가했다.
결과는 단순한 버그 탐지 수준을 넘어섰다. 연구팀에 따르면 이 모델은 개별 취약점을 찾는 데 그치지 않고, 여러 취약점을 연결해 실제 공격 체인으로 발전시키는 능력을 보여주었다. 동시에 신뢰성 문제와 안전 제어의 한계도 확인됐다.
대부분의 자동 보안 도구는 개별 취약점을 탐지하는 데 초점을 둔다. 하지만 Mythos는 그보다 한 단계 더 나아간 접근을 보였다.
클라우드플레어의 테스트에 따르면 모델은 다음과 같은 방식으로 동작했다.
즉 취약점을 독립된 문제로 보는 대신, 공격자가 실제로 어떻게 여러 결함을 이어 공격 경로를 만들지 추론할 수 있었다는 것이다. 이러한 분석은 클라우드플레어의 런타임 시스템, 프로토콜 코드, 컨트롤 플레인 구성 요소, 그리고 오픈소스 프로젝트 전반에서 관찰됐다.
보통 이런 수준의 취약점 연결 분석은 숙련된 보안 연구자가 수행하는 작업으로 알려져 있다.
또 하나의 핵심 발견은 PoC(Proof‑of‑Concept) 익스플로잇 코드 생성 자동화였다.
클라우드플레어의 관찰에 따르면 Mythos는 다음과 같은 반복 과정을 수행할 수 있었다.
이러한 반복 과정 덕분에 모델은 취약점 발견 → 실제 악용 가능성 검증까지 상당 부분을 자동으로 수행했다.
보안팀 입장에서는 PoC 코드가 만들어져야 취약점이 실제로 악용 가능한지 확인할 수 있기 때문에, 이 단계가 자동화되면 취약점 검증과 우선순위 설정에 필요한 시간이 크게 줄어든다.
Anthropic의 자체 설명에서도 Mythos Preview의 보안 연구 능력이 강조된다.
내부 테스트에서는 다음과 같은 능력이 보고됐다.
이러한 특징은 Mythos가 일반적인 코딩 보조 모델이 아니라 취약점 분석과 공격 논리를 구조적으로 추론하도록 설계된 모델임을 보여준다.
강력한 능력에도 불구하고 테스트에서는 몇 가지 중요한 문제도 발견됐다.
모델이 실제로는 악용 불가능한 취약점을 보고하는 경우가 있었다. 특히 C나 C++ 같은 메모리 안전성이 낮은 언어로 작성된 프로젝트에서 이런 오탐이 더 많이 나타났다. 따라서 최종 검증에는 여전히 인간 연구자의 확인이 필요하다.
또 다른 문제는 안전 정책에 따른 거부 행동이 일관되지 않다는 점이었다.
어떤 경우에는 모델이 공격 경로를 분석한 뒤 익스플로잇 시연을 거부했고, 다른 경우에는 더 깊은 단계까지 진행하다가 중단하기도 했다.
이는 보안 연구에 유용한 기능과 악용 방지 장치 사이의 균형을 맞추는 것이 얼마나 어려운지를 보여준다.
이번 실험은 AI가 취약점 연구 방식 자체를 바꿀 수 있음을 시사한다.
방어 측면에서는 이런 시스템이 다음과 같은 역할을 할 수 있다.
하지만 같은 능력은 공격자에게도 도움이 될 수 있다. 버그 발견에서 실제 공격 코드 생성까지의 장벽이 크게 낮아질 수 있기 때문이다.
클라우드플레어는 특히 **“단순히 패치를 더 빨리 하는 것만으로는 충분하지 않을 수 있다”**는 점을 강조했다. AI가 취약점을 더 빠르게 발견하고 연결할 수 있는 환경에서는 취약점 관리와 보안 아키텍처 자체가 바뀌어야 할 가능성이 있다는 것이다.
Claude Mythos Preview는 전형적인 이중 용도(dual‑use) 기술의 사례다.
이러한 이유로 Mythos Preview는 일반 공개 모델이 아니라 제한된 파트너에게만 제공되고 있다. 현재는 Project Glasswing 프로그램을 통해 일부 기업과 기관이 방어 목적의 보안 테스트에만 사용할 수 있다.
클라우드플레어의 실험 결과는 한 가지 분명한 메시지를 남긴다. AI는 이제 단순히 코드를 작성하는 도구를 넘어, 취약점 발견부터 공격 논리 구성까지 이해하는 ‘전면적 보안 분석 시스템’으로 발전하고 있다는 것이다. 앞으로 이 기술이 사이버 방어와 공격 양쪽 모두의 전략을 크게 바꿀 가능성이 있다.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
클라우드플레어는 Anthropic의 Claude Mythos Preview를 50개 이상의 내부·오픈소스 코드 저장소에 테스트한 결과, 여러 개의 낮은 위험도 버그를 연결해 실제 공격 경로(익스플로잇 체인)를 구성할 수 있음을 확인했다.
클라우드플레어는 Anthropic의 Claude Mythos Preview를 50개 이상의 내부·오픈소스 코드 저장소에 테스트한 결과, 여러 개의 낮은 위험도 버그를 연결해 실제 공격 경로(익스플로잇 체인)를 구성할 수 있음을 확인했다. 모델은 취약점을 찾는 데서 멈추지 않고 PoC(개념증명) 익스플로잇 코드를 작성하고 실행·수정하는 반복 과정을 통해 자동으로 공격 가능성을 검증했다.
하지만 오탐(false positive)과 일관되지 않은 안전 거부 동작 같은 한계도 드러났으며, 이러한 능력은 방어와 공격 모두에 사용될 수 있는 ‘이중 용도(dual‑use)’ 위험을 보여준다.