인공지능(AI) 개발사 앤트로픽(Anthropic)이 자사 대규모 언어모델(LLM) 클로드(Claude)를 활용해 코드 취약점을 자율적으로 발견하고 수정하는 오픈소스 프레임워크 '디펜딩 코드 레퍼런스 하네스(Defending Code Reference Harness)'를 공개했습니다. 이 프로젝트는 여러 조직의 보안팀과 협력하며 얻은 학습을 바탕으로 구성된 참조 구현으로, AI가 소프트웨어 보안에 기여할 수 있는 잠재력을 보여줍니다.
이 프레임워크는 '정찰(recon) → 탐색(find) → 검증(verify) → 보고(report) → 패치(patch)'의 자율 파이프라인을 따르며, 특히 C/C++ 언어의 메모리 취약점 탐색에 맞춰져 있습니다. 도커(Docker)와 ASAN(AddressSanitizer)을 활용해 격리된 환경에서 악성 입력을 생성하고 크래시를 유발하여 취약점을 찾아냅니다. 이후 별도의 에이전트가 크래시를 재현하고, 중복 여부를 판정하며, 취약점의 심각도와 악용 가능성을 분석한 구조화된 보고서를 작성합니다. 마지막으로 수정안을 제안하고, 이 패치가 기존 문제를 해결하고 새로운 문제를 일으키지 않는지 검증하는 과정을 거칩니다. 앤트로픽은 이 프레임워크의 관리형 대안으로 '클로드 시큐리티(Claude Security)' 서비스를 제공하고 있습니다.
'디펜딩 코드 레퍼런스 하네스'는 현재 유지보수되지 않고 기여도 받지 않는 참조 구현이지만, AI 기반 보안 분석의 미래를 엿볼 수 있게 합니다. 특히, 수백만 달러에 달할 수 있는 기존 보안 컨설팅 비용의 10분의 1 수준으로도 유사한 수준의 취약점 발견이 가능할 수 있다는 점에서 비용 효율적인 대안으로 주목받고 있습니다. 그러나 AI가 제안하는 수정안의 품질은 여전히 전문가의 검토를 필요로 하며, 모든 환경에 바로 적용하기 위해서는 추가적인 포팅 작업이 필요하다는 한계도 존재합니다. 그럼에도 불구하고, 이는 AI가 소프트웨어 개발 및 보안 프로세스에 깊숙이 통합되어 '목적 전용 도구'의 형태로 진화하고 있음을 보여주는 중요한 사례입니다.