
ZDNET을 팔로우하세요: 우리를 선호 소스로 추가하세요 Google에서.
ZDNET의 주요 시사점
- AI 취약성 스캔이 개발자 워크플로로 이동하고 있습니다.
- Claude Security는 조사 결과를 우선순위 수정 지침으로 전환합니다.
- 가장 큰 과제는 이러한 도구를 공격자로부터 보호하는 것입니다.
Anthropic은 새로운 방어 사이버 보안 제품인 Claude Security를 발표했습니다. 현재는 엔터프라이즈 계층 Claude 사용자에게 공개 베타 버전으로 제공되며 Claude Team 및 Max 계층 사용자에게는 “곧” 제공될 예정입니다.
또한: Apple, Google 및 Microsoft는 세계에서 가장 중요한 소프트웨어를 보호하기 위해 Anthropic의 Project Glasswing에 합류했습니다.
Claude Security는 Anthropic의 사이버 방어 도구 상자에 포함된 또 다른 도구입니다. 보안 팀은 Claude Opus 4.7 모델을 사용하여 “코드베이스에서 취약성을 검사하고 대상 패치를 생성”할 수 있는 방법을 제공합니다.
이달 초 Anthropic은 전 세계 오픈 소스 소프트웨어 인프라의 취약점을 찾는 것을 목표로 하는 AI Manhattan 프로젝트인 Project Glasswing을 선보였습니다.
Glasswing은 너무 위험해서 대중에게 공개되지 않는 모델인 Mythos라는 인류학 모델을 사용합니다. Amazon Web Services, Anthropic, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, Nvidia 및 Palo Alto Networks와 같은 이전 경쟁사를 포함하여 Glasswing 참가자와 공유되고 있습니다.
취약점 스캔
Project Glasswing과 Claude Security의 핵심은 취약점 검색입니다. 대부분의 사이버 공격은 취약점을 악용하는 적 공격자로부터 시작됩니다. 따라서 방어자가 취약점을 찾아 패치할 수 있다면 악의적인 공격자의 공격 표면은 더 작아집니다.
기억하다 스타워즈? 전체 줄거리 새로운 희망 R2-D2에 레이아 공주가 보관하는 데스 스타 계획을 중심으로 진행됩니다. 반란군이 이러한 계획을 얻으면 취약점을 찾을 수 있습니다. 루크와 다른 조종사들이 해야 할 일은 데스 스타의 배기구에 어뢰 한 발을 발사하고… 펑!
소년 소녀들이여, 그것은 취약성입니다. 데스 스타에는 치명적인 결함이 하나 있었습니다. 귀하의 코드베이스에는 아마도 더 많은 것이 있을 것입니다. Anthropic의 새로운 Claude Security 도구는 공격자가 먼저 도착하기 전에 이를 찾아내려고 합니다.
현실 세계에서는 모든 것이 본질적으로 취약한 소프트웨어에서 실행됩니다. 취약점은 공격자가 악용할 수 있는 문을 열어줄 뿐만 아니라 소프트웨어 사용자가 경험하는 버그로 인해 피해를 입힐 수도 있습니다.
또한: 저는 주요 버그를 해결하기 위해 두 가지 AI 도구를 팀으로 구성했습니다. 하지만 저 없이는 할 수 없었습니다.
저는 9월에 OpenAI의 Codex를 통해 처음으로 AI를 사용하여 취약점 스캔을 수행했습니다. 당시에는 프로젝트 전체의 컨텍스트를 처리할 수 없었기 때문에 실패했습니다. 하지만 AI 쌍 프로그래밍 도구를 ChatGPT의 Deep Research와 팀으로 구성했을 때(많은 데이터로 더 좋았음) 두 사람이 내 보안 소프트웨어에서 여러 가지 심각한 취약점을 발견했고 이를 즉시 수정했습니다.
그 이후로 Codex와 Claude Code는 모두 하나의 컨텍스트에서 처리할 수 있는 코드의 양이 향상되었지만, 둘 다 대규모 코드베이스 전체를 한 번에 처리할 수는 없습니다.
그러나 신화는 가능합니다. 거시적 규모로 코드베이스 간의 관계를 처리할 수도 있습니다. 그러나 엔터프라이즈 등급 수수료를 통해서도 일반 대중에게는 제공되지 않습니다. 지난달 OpenAI는 더 넓은 범위의 상황 분석을 제공하는 Codex Security를 출시했습니다. 이제 Claude Security는 유사한 대규모 스캔을 수행할 수 있습니다.
이 새로운 제품은 전체 저장소 또는 대상 디렉터리를 검색할 수 있습니다. Anthropic에 따르면 “Claude는 보안 연구원이 하는 방식으로 코드에 대해 추론하고, 데이터 흐름을 추적하고, 소스 코드를 읽고, 구성 요소가 파일과 모듈 간에 상호 작용하는 방식을 연구합니다.”
Claude Security에는 더 많은 기능이 있지만 먼저 취약성 검색 AI로 인해 발생하는 큰 취약성에 대해 이야기해 보겠습니다.
디지털 파괴의 무기
취약점 스캐너는 방어자가 방어하는 데 도움이 됩니다. 그러나 공격자가 공격할 위치를 찾는 데도 도움이 됩니다. 이것이 반란군의 데스 스타 공격의 핵심이었습니다. 취약점을 알게 되면 이를 악용할 수 있습니다.
예를 들어, Microsoft와 OpenAI는 중국, 이란, 러시아, 북한의 국가 관련 공격자가 대규모 언어 모델을 사용하여 다양한 회사와 사이버 보안 도구를 조사하고, 코드를 디버그하고, 스크립트를 생성하고, 피싱 및 스피어 피싱 캠페인에 사용할 수 있는 콘텐츠를 생성했다고 보고했습니다.
또한: AI는 수십 년 된 코드에서도 숨겨진 소프트웨어 버그를 찾는 데 점점 능숙해지고 있습니다.
Anthropic은 자사 모델이 유사한 방식으로 사용되는 것을 방지하려고 노력하고 있습니다. Opus 4.7이 출시되면서 회사에는 금지되거나 위험성이 높은 사이버 보안 사용을 암시하는 요청을 자동으로 감지하고 차단하는 새로운 사이버 보호 기능이 포함되었습니다.
예를 들어 Opus 4.7은 이제 “거의 항상 악의적으로 사용되며 대량 데이터 유출이나 랜섬웨어 코드 개발과 같은 합법적인 방어 애플리케이션이 거의 또는 전혀 없는 활동”을 차단합니다.
반면, 취약점 악용이나 공격적인 보안 도구 개발과 같은 합법적인 방어 애플리케이션이 있는 활동은 어떻습니까? Opus 4.7은 이러한 활동도 차단하지만 Anthropic의 사이버 검증 프로그램에 참여하도록 승인된 사이버 보안 연구원은 이 제한된 회색 영역에서 AI 기능에 액세스할 수 있습니다.
또한: 이 새로운 Claude Code Review 도구는 AI 에이전트를 사용하여 버그에 대한 풀 요청을 확인합니다. 방법은 다음과 같습니다.
효과적으로, Anthropic으로부터 보안 허가를 받을 수 있는 사람들은 Opus 4.7을 사용하여 업무 수행 중에 차단된 보안 활동을 수행할 수 있습니다. 공개: 저는 Anthropic의 사이버 검증 프로그램의 승인된 회원이므로 사이버 전쟁, 사이버 방어 및 대테러 업무의 일환으로 이러한 기능에 액세스할 수 있습니다.
취약점을 실행 가능하게 만들기
취약점 스캐닝의 문제점은 소음의 폭동이 될 수 있다는 것입니다. 모든 작은 것에는 플래그가 지정될 수 있으며, 멸종 수준의 사건을 일으킬 수 있는 취약성을 수리하는 대신 별 효과가 없는 버그를 추적하는 데 몇 시간 또는 며칠을 보낼 수 있습니다.
Claude Security는 “다단계 검증 파이프라인이 분석가에게 도달하기 전에 각 결과를 독립적으로 확인하고 모든 결과에 신뢰도 등급을 부여합니다.”를 도입했습니다.
AI는 신뢰도, 심각도, 영향 가능성, 재현 단계, 권장 수정 사항 등의 요소를 포함하여 각 “발견”을 자세히 설명할 수 있습니다. 이는 개발자가 덜 중요한 문제에 시간을 낭비할 필요 없이 신뢰도가 높고 영향이 크며 심각하게 문제가 되는 문제를 우선적으로 처리할 수 있기 때문에 매우 유용할 수 있습니다.
또한: 개발자에 따르면 AI가 오픈 소스 소프트웨어에 저주이자 축복인 이유
이러한 조사 결과를 바탕으로 Claude Security는 방어자에게 상황에 맞게 Claude Code에서 코드를 열 수 있는 기능을 제공하므로 조사 결과에서 바로 작업이 필요한 영역을 확인하고 수정할 수 있습니다.
Anthropic은 또한 일련의 작업 흐름 최적화를 추가했습니다. “지속적인 적용 범위에 대한 예약된 스캔, 문서화된 이유와 함께 결과를 기각하는 기능(향후 검토자가 사전 분류 결정을 신뢰할 수 있도록), 결과를 기존 추적 및 감사 시스템에 통합하기 위한 CSV 및 마크다운 내보내기 기능을 추가했습니다.”
밖에서는 안전하게 지내세요
Claude Security 가입자는 기술 및 보안 파트너와 협력할 수 있습니다. Anthropic은 Opus 4.7을 사이버 보안 플랫폼에 통합하고 있는 CrowdStrike, Palo Alto Networks, SentinelOne, Trend.ai 및 Wiz를 포함한 기술 파트너를 구체적으로 지적했습니다.
또한: Google은 보안 군비 경쟁이 심화됨에 따라 AI 에이전트 사이버 포스에 320억 달러를 투자했습니다.
또한 회사는 Accenture, BCG, Deloitte, Infosys 및 PwC를 포함한 보안 파트너와 협력하고 있으며 Claude Security를 배포하여 기업의 보안 태세를 강화하는 데 도움을 주고 있습니다.
위험한 결함을 찾거나 개발자가 수정 사항의 우선순위를 더 빠르게 정하는 데 AI 취약점 스캔이 더 유용하다고 생각하시나요? 아래 댓글을 통해 알려주세요.
소셜 미디어에서 저의 일상적인 프로젝트 업데이트를 팔로우하실 수 있습니다. 내 주간 업데이트 뉴스레터를 구독하고 Twitter/X에서 나를 팔로우하세요. @DavidGewirtzFacebook(Facebook.com/DavidGewirtz), Instagram(Instagram.com/DavidGewirtz), Bluesky(@DavidGewirtz.com), YouTube(YouTube.com/DavidGewirtzTV).
완벽 가이드 보기