배경 및 맥락
Frontier model이 코드 생성과 취약점 분석에서 강해지면서 보안 업계의 관심은 모델 남용 방지뿐 아니라 방어적 사용의 운영 비용으로 이동하고 있다. AI가 더 많은 버그를 찾을 수 있다면, 조직은 이를 공개하고 패치하는 속도도 함께 높여야 한다.
Epoch AI의 분석은 이 변화를 공개 CVE 데이터로 관찰한 사례다. Anthropic의 Claude Mythos Preview와 Project Glasswing, OpenAI의 Daybreak 같은 프로그램은 AI를 방어적 취약점 발견에 투입하는 대표적인 흐름이다.
핵심 내용
Epoch AI는 2026년 6월 high 및 critical severity CVE 공개량이 notable organizations 기준 약 1,500건에 달했고, Mythos Preview 발표 이전 월간 최고치보다 3.5배 이상 많았다고 분석했다. 대상 조직은 Microsoft, Google, Apple, Adobe, Oracle, Cisco, Red Hat, Intel, AMD, NVIDIA, Qualcomm, AWS, GitHub, Linux, Mozilla, Apache, OpenSSL 등 21개 주요 조직이다.
Epoch은 이 증가가 전적으로 AI 때문이라고 단정하지 않는다. 공개된 CVE만 반영되며, 관심 증가나 disclosure policy 변화도 영향을 줄 수 있다. 다만 Project Glasswing이 high/critical vulnerability 10,000건 이상을 찾았다고 주장한 점과 시기적으로 맞물리면서, AI 기반 vulnerability discovery가 실제 보안 운영량을 키우는 방향은 분명해 보인다.
경쟁 구도 / 비교
기존 보안 자동화는 SAST, DAST, fuzzing, dependency scanning처럼 특정 입력과 규칙 기반 도구에 가까웠다. Frontier cyber model은 코드 이해, exploit primitive 추론, patch reasoning을 결합해 더 긴 보안 작업을 수행할 수 있다는 점에서 disclosure volume 자체를 바꿀 수 있다.
GitHub Advisory Database surge가 취약점 큐레이션 병목을 보여줬다면, Epoch 분석은 frontier model이 그 큐를 더 빠르게 키울 수 있다는 후속 신호다. 따라서 문제는 탐지 도구 추가가 아니라 triage와 coordinated disclosure 체계의 확장이다.
의미
보안 리더는 AI 보안 도구를 도입할 때 발견 수 증가를 성과로만 보지 말아야 한다. 실제 조직 역량은 exploitability 판단, 패치 우선순위, 고객 공지, SBOM 및 dependency propagation까지 이어지는 end-to-end 처리량으로 평가된다.
개발 조직은 AI 발견 취약점이 늘어나는 환경에서 긴급 패치 슬롯, dependency update 자동화, regression test capacity를 미리 확보해야 한다. AI가 취약점을 더 빨리 찾는다면, 패치하지 못한 backlog도 더 빨리 위험 자산이 된다.