AI 에이전트가 직접 소프트웨어 프로젝트의 보안 취약점을 검사하고 해결책을 찾는 새로운 보안 도구 'VulnFeed'가 출시되었습니다. 이 도구는 개발자가 사용하는 패키지 잠금 파일(lockfile)을 분석하여 NVD(국가 취약점 데이터베이스)와 GitHub 보안 권고를 교차 확인합니다. 특히 실제 악용될 가능성이 높은 취약점(EPSS 점수 기반)을 우선순위로 제시하며, 정확한 수정 버전까지 알려주는 것이 특징입니다.
VulnFeed는 사용자의 `package-lock.json`, `requirements.txt`, `go.sum` 파일 등을 읽어 실제 사용 중인 의존성(dependency)에 해당하는 CVE(공통 취약점 및 노출)만을 필터링하여 불필요한 알림을 줄입니다. 예를 들어, 익스프레스(express) 라이브러리의 특정 취약점(GHSA-29mw)이 73%의 높은 악용 확률을 가졌다면 이를 최우선으로 알려주고, 4.17.1 버전에서 4.21.0으로 업그레이드하라는 구체적인 해결책을 제시합니다. 이 모든 과정은 클로드 코드(Claude Code), 커서(Cursor), VS 코드(VS Code) 등 AI 개발 환경에서 AI 에이전트가 직접 명령을 호출하여 수행할 수 있도록 설계되었습니다.
이 서비스는 월 14달러의 합리적인 가격으로 무제한 스캔 및 프로젝트 모니터링을 제공하며, 하루 10회 스캔이 가능한 무료 티어도 있습니다. 특히 주목할 만한 점은 AI 에이전트가 요청당 0.01달러(스캔) 또는 0.002달러(CVE 조회)를 USDC로 직접 지불하는 마이크로 결제(x402 protocol) 시스템을 지원한다는 것입니다. 이는 AI 에이전트가 자율적으로 필요한 보안 정보를 얻고 비용을 처리할 수 있게 하여, 개발 워크플로우를 한층 더 자동화하고 효율성을 높일 수 있는 중요한 진전으로 평가됩니다. 개발팀은 물론 1인 개발자에게도 보안 관리를 간소화하고 비용 효율적으로 만들 수 있는 기회를 제공할 것입니다.