앤트로픽, AI 사이버 공격 선제 방어 프로젝트 '글래스윙' 발표

미공개 최강 모델 'Claude Mythos'로 수천 개 제로데이 취약점 발견… 애플·구글·MS 등 12개사 참여

앤트로픽(Anthropic)이 4월 7일 AI 기반 사이버 보안 이니셔티브 '프로젝트 글래스윙(Project Glasswing)'을 공식 발표했다. 이번 프로젝트는 앤트로픽의 미공개 최신 프론티어 모델 '클로드 미토스 프리뷰(Claude Mythos Preview)'가 주요 운영체제와 웹 브라우저를 포함한 핵심 소프트웨어에서 수천 개의 제로데이(zero-day) 취약점을 발견하면서 시작됐다.

'글래스윙'이라는 이름은 날개가 투명한 나비 '유리날개나비(Greta oto)'에서 따왔다. 보안 취약점처럼 눈에 잘 보이지 않는 것을 가시화한다는 의미를 담고 있다.

프로젝트에는 아마존 웹 서비스(Amazon Web Services), 애플(Apple), 브로드컴(Broadcom), 시스코(Cisco), 크라우드스트라이크(CrowdStrike), 구글(Google), JP모건체이스(JPMorgan Chase), 리눅스 재단(Linux Foundation), 마이크로소프트(Microsoft), 엔비디아(NVIDIA), 팔로알토 네트웍스(Palo Alto Networks) 등 12개 주요 기술·금융 기업이 런칭 파트너로 참여했으며, 핵심 소프트웨어를 구축·유지하는 40개 이상의 추가 기관도 모델 접근 권한을 부여받았다. 앤트로픽은 미토스 프리뷰 사용 크레딧 최대 1억 달러(약 1,400억 원)와 오픈소스 보안 단체에 대한 직접 기부금 400만 달러를 지원한다.

클로드 미토스 프리뷰는 일반 공개 없이 이번 프로젝트 한정으로만 제한 배포된다. 앤트로픽은 이 모델의 강력한 에이전트 코딩·추론 역량이 사이버 보안 분야를 근본적으로 뒤바꿀 수 있다고 판단했지만, 동시에 악의적 공격자에게 악용될 경우 치명적인 위협이 될 수 있다는 점도 인정했다.

실제 발견된 취약점들의 심각성은 업계를 놀라게 했다. 미토스 프리뷰는 27년간 발견되지 않았던 오픈BSD(OpenBSD)의 버그를 완전 자율 방식으로 발견했으며, 17년 된 프리BSD(FreeBSD) 원격 코드 실행 취약점(CVE-2026-4747)도 독자적으로 식별·익스플로잇했다. 이 취약점은 인터넷 어디서든 미인증 상태로 서버를 완전 장악할 수 있는 위험한 결함이었다.

앤트로픽은 "이 능력들은 의도적으로 훈련한 것이 아니라 코드, 추론, 자율성의 전반적 향상에 따른 부수적 결과로 출현했다. 취약점 패치에 더 효과적이게 만드는 개선이 동시에 취약점 익스플로잇에도 더 효과적이게 만든다"고 밝혔다.

다리오 아모데이(Dario Amodei) 앤트로픽 최고경영자는 "이를 올바르게 처리하지 못할 경우의 위험은 명백하지만, 올바르게 한다면 AI 이전보다 근본적으로 더 안전한 인터넷과 세계를 만들 실질적인 기회가 있다"고 말했다.

앤트로픽은 90일 이내에 프로젝트를 통해 얻은 결과를 공개 보고하고, 중장기적으로는 독립적인 제3자 기구가 대규모 사이버 보안 프로젝트를 지속적으로 담당하는 구조를 제안했다.