앤트로픽(Anthropic)이 인공지능(AI) 모델 클로드(Claude)를 기반으로 코드 취약점을 자율적으로 발견하고 수정하는 오픈소스 프레임워크 'Defending Code Reference Harness'를 공개했습니다. 이 프레임워크는 클로드의 'Mythos Preview' 출시 이후 여러 기업 보안팀과의 협력을 통해 얻은 학습과 모범 사례를 집대성한 결과물입니다. 개발자들은 이를 활용해 자체적인 AI 기반 보안 파이프라인을 구축하고, 코드의 잠재적 위험을 식별하고 해결할 수 있습니다.
해당 프레임워크는 정찰(recon), 발견(find), 검증(verify), 보고(report), 패치(patch)의 5단계로 구성된 자율 파이프라인을 제공합니다. 특히 C/C++ 메모리 취약점 발견에 최적화되어 있으며, 도커(Docker)와 ASAN(AddressSanitizer)을 활용한 샌드박스 환경에서 코드를 실행하며 취약점을 검증합니다. 사용자는 이 참조 구현을 바탕으로 자신의 프로그래밍 언어나 특정 취약점 유형에 맞춰 파이프라인을 커스터마이징할 수 있습니다. 앤트로픽은 이와 별도로 관리형 서비스인 '클로드 시큐리티(Claude Security)'를 통해 더 광범위한 취약점 스캔 및 관리 기능을 제공하고 있습니다.
이번 오픈소스 공개는 AI가 소프트웨어 개발 보안(DevSecOps) 영역에서 핵심적인 역할을 할 수 있음을 보여줍니다. 개발팀은 AI를 활용해 보안 취약점 발견 및 수정 프로세스를 자동화함으로써 개발 속도를 유지하면서도 코드 품질과 보안 수준을 높일 수 있습니다. 특히 초기 단계부터 보안을 내재화하는 '시프트 레프트(Shift Left)' 전략을 강화하여, 잠재적 보안 문제를 조기에 발견하고 해결하는 데 기여할 것으로 기대됩니다. 이는 개발자들이 보안 전문가 없이도 일정 수준의 보안 역량을 갖출 수 있도록 돕는 중요한 전환점이 될 수 있습니다.