단독으로 보면 아주 놀랍진 않아도, 이 결과는 “이전 모델들이 나온 뒤로 거의 매일 공격받았고, 가장 많이 검토된 애플리케이션 중 하나에서 단 한 번의 실행으로 보안 이슈를 찾았다”로 봐야 할 듯함
“일반적인 정적 코드 분석기를 계속 돌리고, 가장 까다로운 컴파일러 옵션을 쓰고, 몇 년간 퍼징도 했다”는 게 다른 곳에서는 생각보다 거의 안 하는 일임
이제 모든 걸 다시 쓸 때까지 보안이 줄거나 사라지는 어두운 시기를 각오해야 할지도 모름
LLM이 취약점 찾기에 능숙해졌다는 건 맞지만, 왜 curl을 가장 많이 감사된 애플리케이션 중 하나로 묘사하는지는 모르겠음
curl에는 버그 바운티 프로그램이 있었고 어느 정도 연구를 끌어들였지만, 그 결과 Daniel이 AI 쓰레기 제보에 파묻히기도 했음. 공개든 비공개든 취약점 연구 대상으로는 결코 최상위권 흥미 대상은 아님
“여기는 아무리 해도 못 찾는다”는 범주에는 들어가지 않고, 특히 보조금성 대규모 연산 자원을 투입할 수 있다면 더더욱 그렇지 않음
취약점도 낮은 심각도임
블로그 글에 따르면 “확인된 단일 취약점은 6월 말 예정된 다음 curl 8.21.0 릴리스에 맞춰 공개될 낮은 심각도의 CVE가 될 예정”이라고 함
또한 오탐 4개도 있었다고 되어 있음
“결국 모델 접근 권한이 있는 다른 사람이 Mythos로 curl 스캔과 분석을 대신 실행하고 보고서를 보내줄 수 있다는 제안을 받았다. 내게는 그 차이가 그리 중요하지 않았다. 어차피 다양한 프롬프트를 탐색하고 깊이 파고들 시간이 많지도 않았을 테니까.”
약속보다 못한 결과를 내는 과장 기계를 돌릴 때 딱 이런 식으로 행동함: “우리 걸 써보세요! 아니, 정확히는 직접 쓰는 건 아니고요. 저희가 대신 해드릴게요!” 그리고 뒤에서는 전통적이고 비싼 방식이 돌아감
이번에도 그랬는지는 모르지만, 가능성이 무시할 만큼 작지는 않다고 봄. Mythos를 쓰라고 접근받았지만 실제로 Mythos를 쓰진 못하고 결과만 받은 사람이 또 누구인지 궁금함
어쩌면 그냥 암시장 취약점을 사서 Mythos가 찾은 것처럼 제시했을 수도 있음. 그러면 AI가 뱉어낸 데이터 포인트일 뿐임
심지어 이런 발견 대부분이 유지보수자들이 잘 안 가는 다크 포럼에서 논의된 약점일 가능성도 있음
AI가 소프트웨어를 더 안전하게 만들 수 없다는 말은 아님. 하지만 AI 회사들이 패를 너무 숨기면 무엇이 진짜인지 알 수가 없음
Anthropic에 대한 기존 생각을 확인해주지 않는 대안 설명도 찾아봤는지 궁금함
3개월 전 이 사람이 무대에서 AI 쓰레기 제보 때문에 버그 바운티 프로그램을 종료한다고 발표하는 걸 봤음
도구가 그만큼 좋아진 건지, 아니면 수익 동기가 없어지니 사람들이 진짜 취약점과 쓰레기를 가르는 데 더 시간을 쓰게 된 건지 궁금함
Mastodon을 보면 이런 결과가 확증 편향을 폭주시키기 좋음
하지만 확증 편향을 걷어내면, 이걸 일반화하기엔 적절해 보이지 않음. 그래도 데이터 포인트가 공개되는 건 좋음
Mastodon 전반에 얼마나 들어맞는지는 모르겠지만, 내 주변은 너무 반AI 성향이라 경험 많은 사람들조차 Claude 채팅 인터페이스에 GitHub 링크를 던져놓고 쓸모없다는 걸 보이려 함
그런데 그건 그렇게 쓰는 도구가 아님. 사람들에게 결과를 보여주려 해도 실패 사례만 가리키며 웃고 싶어 하니 정말 어렵다
이런 글이 더 많이 나오면 좋겠음
curl에서 낮은 심각도 하나만 나온 건 고무적이지만, 동시에 단일 사례일 뿐임. curl이 다른 핵심 라이브러리들보다 단순히 더 성숙했을 가능성도 있음
“온 세상이 정신을 놓은 듯했다. 우리가 알던 세상의 끝인가? 확실히 놀라울 정도로 성공한 마케팅 묘기였다.”
이런 문체에는 관심이 없음. 명확한 사고와 탄탄한 추론을 보여줬으면 함. 선의로 해석해야 함
좋은 증거와 추론 없이 Glasswing이 “마케팅 묘기”였다고 말하는 건 추측임. 건전한 회의주의는 이해하지만, 건전한 회의주의는 자기 안쪽으로도 향해야 함. 어떤 근거로 그렇게 확신할 수 있는가?
어떤 것이 묘기라면 그게 무슨 뜻인가? “묘기”라는 말을 읽으면 조작하려는 의도가 있었다는 뉘앙스로 들림. 의도에 대해 가장 직접적으로 말할 수 있는 건 “그 방 안에 있던 사람들”임. 나머지는 기껏해야 예측을 하는 것인데, 너무 많은 사람이 예측을 진지하게 다루지도 않고 사실인 것처럼 단정함
그 자리에 없던 사람이라면 단정하기보다 자신의 추론을 설명하는 편이 현명함
유인은 여러 방향을 가리킴. 순진하게 보는 건 아님. 진지한 글쓴이라면 독자의 지성과 세상을 이해하려는 욕구를 존중해야 한다고 기대함
한 분야의 전문가가 다른 분야에 과신하며 뛰어들다 실수하는 건 흔함. curl 유지보수자가 일반적으로, 특히 자신이 유지하는 프로젝트의 위상에 대해 좋은 인식론적 기준을 갖췄다고 봐야 할 근거가 무엇인가? 사람에게는 기계가 자신보다 더 잘하는 걸 원치 않을 강한 유인이 종종 있음. Mythos가 이미 그런 위치라는 말은 아님. 그 부분엔 판단을 보류함. 하지만 이 글에서 보이는 추론만 놓고 보면 글쓴이에게 감탄하긴 어렵다
Glasswing이 마케팅 묘기였다고 하는 게 성급하다는 데 동의하지 않음. “성공한 마케팅 묘기”라는 문장 바로 뒤에 이어진 내용을 보면 공정한 비판이었다고 봄
“프로젝트 Glasswing의 일부로 Anthropic은 Linux Foundation을 통해 ‘오픈소스 프로젝트’에 최신 AI 모델 접근 권한도 제공했다. Linux Foundation은 이 부분을 Alpha Omega 프로젝트가 처리하게 했고, 그 대표자들이 내게 연락했다. curl의 리드 개발자로서 나는 마법 모델 접근 권한을 제안받았고 기꺼이 수락했다. 물론 curl에서 뭘 찾을 수 있는지 보고 싶었다.”
글 전체를 읽은 느낌으로는, 저자가 Glasswing이 오직 마케팅 묘기였다고 말한 게 아니라, 마케팅 묘기로서는 분명히 성공했고 그 이상이 얼마나 되는지는 아직 미정이라고 본 듯함
인용한 뒤의 나머지 글은 단순한 마케팅 이상이 있었고, “여전히 매우 좋다”고 결론냄. 지금까지 받은 숨 가쁜 마케팅 과장에 미치지 못하더라도 도움은 될 가능성이 높다는 취지였음
OpenAI는 얼마 지나지 않아 정기 업그레이드 패턴에 따라 새 모델 버전을 냈고, 이 영역에서 비슷한 능력을 보였지만 별다른 팡파르나 소동은 없었음
그냥 GPT-5.5였음. 그런 점에서, Mythos를 이른바 위험성 때문에 숨긴 건 보안 활용 사례에 관심을 집중시키고 새 수요를 만들려는 의도였을 수 있다고 봄
Lobste.rs 의견들
단독으로 보면 아주 놀랍진 않아도, 이 결과는 “이전 모델들이 나온 뒤로 거의 매일 공격받았고, 가장 많이 검토된 애플리케이션 중 하나에서 단 한 번의 실행으로 보안 이슈를 찾았다”로 봐야 할 듯함
이제 모든 걸 다시 쓸 때까지 보안이 줄거나 사라지는 어두운 시기를 각오해야 할지도 모름
curl에는 버그 바운티 프로그램이 있었고 어느 정도 연구를 끌어들였지만, 그 결과 Daniel이 AI 쓰레기 제보에 파묻히기도 했음. 공개든 비공개든 취약점 연구 대상으로는 결코 최상위권 흥미 대상은 아님
“여기는 아무리 해도 못 찾는다”는 범주에는 들어가지 않고, 특히 보조금성 대규모 연산 자원을 투입할 수 있다면 더더욱 그렇지 않음
블로그 글에 따르면 “확인된 단일 취약점은 6월 말 예정된 다음 curl 8.21.0 릴리스에 맞춰 공개될 낮은 심각도의 CVE가 될 예정”이라고 함
또한 오탐 4개도 있었다고 되어 있음
“결국 모델 접근 권한이 있는 다른 사람이 Mythos로 curl 스캔과 분석을 대신 실행하고 보고서를 보내줄 수 있다는 제안을 받았다. 내게는 그 차이가 그리 중요하지 않았다. 어차피 다양한 프롬프트를 탐색하고 깊이 파고들 시간이 많지도 않았을 테니까.”
약속보다 못한 결과를 내는 과장 기계를 돌릴 때 딱 이런 식으로 행동함: “우리 걸 써보세요! 아니, 정확히는 직접 쓰는 건 아니고요. 저희가 대신 해드릴게요!” 그리고 뒤에서는 전통적이고 비싼 방식이 돌아감
이번에도 그랬는지는 모르지만, 가능성이 무시할 만큼 작지는 않다고 봄. Mythos를 쓰라고 접근받았지만 실제로 Mythos를 쓰진 못하고 결과만 받은 사람이 또 누구인지 궁금함
심지어 이런 발견 대부분이 유지보수자들이 잘 안 가는 다크 포럼에서 논의된 약점일 가능성도 있음
AI가 소프트웨어를 더 안전하게 만들 수 없다는 말은 아님. 하지만 AI 회사들이 패를 너무 숨기면 무엇이 진짜인지 알 수가 없음
3개월 전 이 사람이 무대에서 AI 쓰레기 제보 때문에 버그 바운티 프로그램을 종료한다고 발표하는 걸 봤음
도구가 그만큼 좋아진 건지, 아니면 수익 동기가 없어지니 사람들이 진짜 취약점과 쓰레기를 가르는 데 더 시간을 쓰게 된 건지 궁금함
Mastodon을 보면 이런 결과가 확증 편향을 폭주시키기 좋음
하지만 확증 편향을 걷어내면, 이걸 일반화하기엔 적절해 보이지 않음. 그래도 데이터 포인트가 공개되는 건 좋음
그런데 그건 그렇게 쓰는 도구가 아님. 사람들에게 결과를 보여주려 해도 실패 사례만 가리키며 웃고 싶어 하니 정말 어렵다
이런 글이 더 많이 나오면 좋겠음
curl에서 낮은 심각도 하나만 나온 건 고무적이지만, 동시에 단일 사례일 뿐임. curl이 다른 핵심 라이브러리들보다 단순히 더 성숙했을 가능성도 있음
“온 세상이 정신을 놓은 듯했다. 우리가 알던 세상의 끝인가? 확실히 놀라울 정도로 성공한 마케팅 묘기였다.”
이런 문체에는 관심이 없음. 명확한 사고와 탄탄한 추론을 보여줬으면 함. 선의로 해석해야 함
좋은 증거와 추론 없이 Glasswing이 “마케팅 묘기”였다고 말하는 건 추측임. 건전한 회의주의는 이해하지만, 건전한 회의주의는 자기 안쪽으로도 향해야 함. 어떤 근거로 그렇게 확신할 수 있는가?
어떤 것이 묘기라면 그게 무슨 뜻인가? “묘기”라는 말을 읽으면 조작하려는 의도가 있었다는 뉘앙스로 들림. 의도에 대해 가장 직접적으로 말할 수 있는 건 “그 방 안에 있던 사람들”임. 나머지는 기껏해야 예측을 하는 것인데, 너무 많은 사람이 예측을 진지하게 다루지도 않고 사실인 것처럼 단정함
그 자리에 없던 사람이라면 단정하기보다 자신의 추론을 설명하는 편이 현명함
유인은 여러 방향을 가리킴. 순진하게 보는 건 아님. 진지한 글쓴이라면 독자의 지성과 세상을 이해하려는 욕구를 존중해야 한다고 기대함
한 분야의 전문가가 다른 분야에 과신하며 뛰어들다 실수하는 건 흔함. curl 유지보수자가 일반적으로, 특히 자신이 유지하는 프로젝트의 위상에 대해 좋은 인식론적 기준을 갖췄다고 봐야 할 근거가 무엇인가? 사람에게는 기계가 자신보다 더 잘하는 걸 원치 않을 강한 유인이 종종 있음. Mythos가 이미 그런 위치라는 말은 아님. 그 부분엔 판단을 보류함. 하지만 이 글에서 보이는 추론만 놓고 보면 글쓴이에게 감탄하긴 어렵다
“프로젝트 Glasswing의 일부로 Anthropic은 Linux Foundation을 통해 ‘오픈소스 프로젝트’에 최신 AI 모델 접근 권한도 제공했다. Linux Foundation은 이 부분을 Alpha Omega 프로젝트가 처리하게 했고, 그 대표자들이 내게 연락했다. curl의 리드 개발자로서 나는 마법 모델 접근 권한을 제안받았고 기꺼이 수락했다. 물론 curl에서 뭘 찾을 수 있는지 보고 싶었다.”
글 전체를 읽은 느낌으로는, 저자가 Glasswing이 오직 마케팅 묘기였다고 말한 게 아니라, 마케팅 묘기로서는 분명히 성공했고 그 이상이 얼마나 되는지는 아직 미정이라고 본 듯함
인용한 뒤의 나머지 글은 단순한 마케팅 이상이 있었고, “여전히 매우 좋다”고 결론냄. 지금까지 받은 숨 가쁜 마케팅 과장에 미치지 못하더라도 도움은 될 가능성이 높다는 취지였음
그냥 GPT-5.5였음. 그런 점에서, Mythos를 이른바 위험성 때문에 숨긴 건 보안 활용 사례에 관심을 집중시키고 새 수요를 만들려는 의도였을 수 있다고 봄