모질라, 에이전트 AI로 파이어폭스 취약점 271개 발견

주장모질라는 에이전트 AI 시스템을 도입하여 소프트웨어 보안 취약점 탐지 효율을 개선했습니다. 기존의 단순 코드 분석 방식에서 벗어나 AI가 스스로 테스트 케이스를 생성하고 검증하는 방식을 채택했습니다.

팩트모질라는 2026년 4월 한 달 동안 총 423개의 보안 문제를 해결했습니다. 이는 76개를 기록한 3월 대비 큰 폭으로 증가한 수치입니다.

팩트클로드 미토스 프리뷰(Claude Mythos Preview)는 파이어폭스 150 버전에서 271개의 새로운 취약점을 발견했습니다. 이 중 일부는 20년 동안 방치된 결함입니다.

교차검증과거 GPT-4나 클로드 소넷 3.5를 활용한 읽기 전용 분석 방식은 오탐지가 많아 실효성이 낮았습니다. 모질라는 AI가 스스로 테스트를 수행하고 결과를 검증하는 에이전트 파이프라인을 구축하여 이 문제를 해결했습니다.

팩트4월에 해결된 423개의 취약점 중 271개는 미토스 프리뷰가 직접 발견했습니다. 나머지 111개의 내부 발견 버그 중 약 3분의 1도 미토스 파이프라인을 통해 식별했습니다.

팩트외부 보고를 통해 접수된 취약점은 전체 423개 중 41개에 불과했습니다. AI 기반의 자동화된 보안 점검이 외부 제보 방식보다 강력한 탐지력을 보입니다.

주장이번 사례는 AI가 새로운 버그를 찾는 것을 넘어 기존 보안 방어 체계의 유효성을 검증하는 데 효과적임을 입증했습니다. AI가 시도한 공격이 기존 보안 아키텍처에 의해 차단되면서 모질라는 자사 방어 체계의 견고함을 확인했습니다.

팩트발견된 취약점 중에는 15년 된 HTML 라벨 요소 버그와 20년 된 XML 도구 XSLT 버그가 포함되어 있습니다. 또한 6만 5535행 이상의 HTML 표가 내부 카운터를 넘치게 만드는 메모리 오류도 발견했습니다.

교차검증AI가 발견한 취약점은 단독으로는 공격이 어려운 경우가 많아 여러 결함을 연결해야 합니다. 다만 이러한 미세한 약점은 기존의 퍼징(fuzzing) 방식으로는 찾기 어려웠던 영역으로, AI가 이를 보완합니다.

주장모질라는 향후 모든 새로운 코드 커밋에 대해 이 에이전트 파이프라인을 자동으로 적용할 계획입니다. 이는 개발 초기 단계부터 보안을 강화하는 시프트 레프트(Shift-Left) 전략의 일환입니다.

출처더 디코더(The Decoder) 보도 내용과 모질라 해킹 블로그(Mozilla Hacks blog)를 교차 검증했습니다.