TechCrunch AI • 23일 전

안스로픽 '미토스'가 바꾼 파이어폭스 보안

IMP

8/10

핵심 요약

안스로픽의 AI 모델 '미토스(Mythos)'가 모질라 파이어폭스의 방대한 코드에서 10년 이상 된 고위험 취약점들을 대거 발견하며 소프트웨어 보안 패러다임을 전환시켰습니다. 기존의 오탐이 많았던 AI 보안 도구와 달리, 자율형(Agentic) 에이전트가 도입된 최신 모델은 복잡한 샌드박스(Sandbox) 공격까지 시각화해내며 인간 연구자보다 뛰어난 성과를 보여주고 있습니다. 이에 따라 모질라는 단순한 취약점 탐지를 넘어 AI가 작성한 패치를 참고해 인간 엔지니어가 실제 코드를 수정하는 새로운 보안 워크플로우를 구축했습니다.

번역된 본문

안스로픽이 4월 새로운 모델인 '미토스(Mythos)'를 공개했을 때, 소프트웨어를 개발하는 모든 이들에게 엄중한 경고를 던졌다. 이 모델은 소프트웨어 취약점을 탐지하는 능력이 매우 뛰어나서, 공개 전에 수정해야 할 수천 개의 고위험 버그를 발견했다고 연구소는 밝혔다. 이제 모질라의 파이어폭스(Firefox) 브라우저 보안 연구진이 이 과정이 실제로 어떻게 이루어졌는지, 그리고 미토스의 능력이 소프트웨어 보안 전반에 어떤 의미를 갖는지 자세히 설명하고 있다.

목요일에 게시된 글에서 모질라는 미토스가 다량의 고위험 버그를 찾아냈으며, 여기에는 코드 내부에 10년 넘게 잠복해 있던 것들도 포함되어 있다고 밝혔다. 이는 불과 6개월 전만 해도 AI 보안 도구들이 가능했던 수준과 비교해 매우 큰 발전이다. 지금까지 AI 버그 탐지 도구는 심각한 단점이 있었고, 종종 보안팀에 저품질의 보고서와 오탐(false positives)을 쏟아내곤 했다. 하지만 모질라 연구진은 최신 세대의 도구들이, 특히 자율형(Agentic) 시스템이 자체적인 작업을 평가하고 잘못된 결과를 걸러낼 수 있게 되면서 비약적인 발전을 이루었다고 말한다.

연구진은 "이러한 역학이 단 몇 달 만에 얼마나 크게 변했는지 아무리 강조해도 지나치지 않다"며, "첫째, 모델의 성능이 크게 향상되었다. 둘째, 이 모델들을 활용하는 우리의 기술이 극적으로 개선되었다"고 밝혔다.

그 결과는 놀랍다. 2026년 4월 파이어폭스는 정확히 1년 전인 31개에 불과했던 버그 수정 건수와 비교해 423개의 버그 수정을 배포했다. 연구진은 또한 샌드박스(Sandbox) 취약점 두 개부터 브라우저가 HTML 요소를 구문 분석하는 방식에 있던 15년 된 오류에 이르기까지 12개의 버그에 대한 세부 정보를 공개했다.

모질라의 디스팅귀시드 엔지니어(Distinguished Engineer)인 브라이언 그린스테드(Brian Grinstead)는 테크크런치(TechCrunch)에 "이런 것들이 갑자기 정말 좋아졌다"며, "우리는 내부 스캐닝에서도, 외부 버그 보고서에서도, 업계 전반의 모든 종류의 신호에서도 이러한 결과를 확인하고 있다"고 말했다.

[테크크런치 이벤트] 이번 주 한정: 티켓 1장 구매 시 두 번째 티켓을 50% 할인된 가격에 제공합니다. 당신의 다음 펀딩 라운드, 다음 채용, 다음 도약의 기회를 찾으세요. 10,000명 이상의 창업자, 투자자 및 기술 리더가 모여 3일 동안 250개 이상의 실전 세션, 강력한 네트워킹, 시장을 정의하는 혁신을 경험하는 TechCrunch Disrupt 2026에서 만나보세요. 5월 8일 이전에 등록하면 동반자를 절반 가격에 데려올 수 있습니다. 장소: 캘리포니아주 샌프란시스코 | 2026년 10월 13-15일

이 시스템이 파이어폭스의 '샌드박스(Sandbox)' 시스템 내 취약점을 찾아내는 데 도움을 주었다는 사실은, 이를 악용하는 공격이 얼마나 복잡해야 하는지를 고려할 때 특히 인상적이다. 샌드박스 취약점을 찾기 위해 모델은 브라우저를 위한 손상된 패치를 작성한 다음, 새 코드가 구현된 상태에서 소프트웨어의 가장 안전한 부분을 공격해야 한다. 버그를 찾고 증명하는 것은 섬세하고 여러 단계를 거치는 과정으로, 창의성과 세심한 주의가 모두 요구된다.

이를 비교해 보자면, 모질라의 버그 바운티 프로그램은 파이어폭스 샌드박스에서 버그를 찾은 연구원에게 제공하는 가장 높은 보상인 최대 2만 달러를 지급한다. 그러나 이 최고 수준의 현상금에도 불구하고, 그린스테드는 미토스가 인간 연구자들이 발견했던 것보다 더 많은 샌드박스 문제를 찾아내고 있다고 말한다. 그는 테크크런치에 "우리도 (인간이 직접) 발견할 때가 있긴 하지만, 이 기술로 찾아내는 양에는 미치지 못한다"고 전했다.

주목할 만한 점은 AI 코딩 도구의 발전이 잘 문서화되어 있음에도 불구하고, 파이어폭스 팀이 여전히 버그를 '수정'하는 데는 AI를 사용하지 않고 있다는 것이다. 팀은 각 버그에 대해 AI가 패치 코드를 작성하도록 요청하지만, 결과물은 대개 직접 배포할 수 없으며 대신 인간 엔지니어를 위한 모델(참고용 코드) 역할을 한다. 그린스테드는 "우리가 이 글에서 다루고 있는 버그의 경우, 모든 케이스가 한 명의 엔지니어가 패치를 작성하고 또 다른 한 명의 엔지니어가 이를 리뷰하는 방식으로 진행되었습니다."라고 밝혔다.

원문 보기

원문 보기 (영어)

When Anthropic unveiled its new Mythos model in April, it also delivered a stern warning to anyone developing software. The model was so powerful at sniffing out software vulnerabilities, the lab claimed , that it had discovered thousands of high-severity bugs that would need to be fixed before it could be made public. Now, security researchers for Mozilla’s Firefox browser are providing a closer look at what that process has looked like in practice, and what Mythos’ powers mean for software security at large. In a post published on Thursday , Mozilla said Mythos has unearthed a wealth of high-severity bugs, including some that had lain dormant in the code for more than a decade. That’s a significant improvement from what AI security tools were capable of even six months ago. Until now, AI bug-finding tools have come with severe drawbacks, often inundating security teams with low quality reports and false positives . But Mozilla's researchers say the latest generation of tools have turned a corner, particularly now that agentic systems can assess their own work and filter out bad results. “It is difficult to overstate how much this dynamic changed for us over a few short months,” the researchers wrote. “First, the models got a lot more capable. Second, we dramatically improved our techniques for harnessing these models.” The results are striking: In April 2026, Firefox shipped 423 bug fixes, compared to just 31 exactly a year earlier. The researchers have also published details on 12 of the bugs, which range from a pair of unusual sandbox vulnerabilities, to a 15-year-old error in how the browser parses an HTML element. “These things are actually just suddenly very good,” Brian Grinstead, a distinguished engineer at Mozilla, told TechCrunch. “We see that on our own internal scanning, we see that on external bug reports, and we see that in all sorts of signals across the industry.” Techcrunch event This Week Only: Buy one pass, get the second at 50% off Your next round. Your next hire. Your next breakout opportunity. Find it at TechCrunch Disrupt 2026, where 10,000+ founders, investors, and tech leaders gather for three days of 250+ tactical sessions, powerful introductions, and market-defining innovation. Register before May 8 to bring a +1 at half the cost. This Week Only: Buy one pass, get the second at 50% off Your next round. Your next hire. Your next breakout opportunity. Find it at TechCrunch Disrupt 2026, where 10,000+ founders, investors, and tech leaders gather for three days of 250+ tactical sessions, powerful introductions, and market-defining innovation. Register before May 8 to bring a +1 at half the cost. San Francisco, CA | October 13-15, 2026 REGISTER NOW The fact that the system helped reveal vulnerabilities in Firefox’s “sandbox” system is particularly impressive, given how intricate an attack that exploits it needs to be. To find sandbox vulnerabilities, the model must write a compromised patch for the browser, then attack the most secure part of the software with the new code implemented. Finding and demonstrating the bug is a delicate, multi-step process, requiring both creativity and close attention. To put this into context, Mozilla's bug bounty program pays researchers who can find a bug in Firefox’s sandbox up to $20,000 — the highest reward available. Despite the top-dollar bounty, however, Grinstead says Mythos is finding more sandbox issues than human researchers ever did. “We do get them,” he told TechCrunch, “but not at the volume that we are able to find with this technique.” Notably, the Firefox team still isn’t using AI to fix the bugs, despite well-documented progress in AI coding tools. The team does ask AI to code up patches for each bug, but the resulting code usually can’t be deployed directly, and instead serves as a model for a human engineer. “For the bugs we’re talking about in this post, every single one is one engineer writing a patch and one engineer reviewing it,” Grinstead says. “We have not found it to be automatable.” It’s still not clear how AI’s emerging capabilities will change the broader balance of power in cybersecurity. One month since Mythos was previewed, most of the bugs discovered likely haven’t been patched, which makes it hard to capture the full scope of their impact. Anthropic has been scrupulous about following responsible disclosure norms, but it’s likely bad actors are using similar techniques behind the scenes, even if the models they're using aren’t quite as good. Speaking at a recent event , Anthropic CEO Dario Amodei was optimistic that the new tools would ultimately favor defenders. “If we handle this right, we could be in a better position than we started, because we fixed all these bugs. There are only so many bugs to find,” Amodei said. “So I think there's a better world on the other side of this.” Having dealt with the gritty details, Grinstead has a more measured view: “It’s useful for both attackers and defenders, but having the tool available shifts the advantage a little bit to defense. Realistically, nobody knows the answer to this yet.” Topics AI , Anthropic , cybersecurity , Firefox , Mozilla , Mythos , Security When you purchase through links in our articles, we may earn a small commission . This doesn’t affect our editorial independence. Russell Brandom AI Editor Russell Brandom has been covering the tech industry since 2012, with a focus on platform policy and emerging technologies. He previously worked at The Verge and Rest of World, and has written for Wired, The Awl and MIT's Technology Review. He can be reached at russell.brandom@techcrunch.com or on Signal at 412-401-5489. View Bio May 27 Athens, Greece StrictlyVC Athens is up next. Hear unfiltered insights straight from Europe’s tech leaders and connect with the people shaping what’s ahead. Lock in your spot before it’s gone. REGISTER NOW Most Popular As workers worry about AI, Nvidia's Jensen Huang says AI is ‘creating an enormous number of jobs' Lucas Ropek Elon Musk sent ominous texts to Greg Brockman, Sam Altman after asking for a settlement, OpenAI claims Julie Bort Tim Fernholz Anthropic and OpenAI are both launching joint ventures for enterprise AI services Russell Brandom Ouster's new color lidar is coming to replace cameras Sean O'Kane We'll take it: A TikToker rallies pledges to buy Spirit Airlines after its abrupt weekend collapse Connie Loizos This tiny, magnetic e-reader could stop you from doomscrolling Amanda Silberling Uber wants to turn its millions of drivers into a sensor grid for self-driving companies Connie Loizos

안스로픽 보안 취약점 파이어폭스 에이전트 버그 바운티