Firefox 271개 버그, AI 에이전트가 보안 감사 인프라로 들어갔다

Mozilla가 Claude Mythos Preview를 에이전트형 파이프라인에 투입해 한 달 만에 Firefox에서 271개의 미발견 보안 취약점을 찾아냈다. 일부는 10~20년간 잠복해 있던 버그다. Mozilla는 '몇 달 전만 해도 AI 보안 리포트는 대부분 잡음이었다'고 했다. 에이전트 방식이 그 판단을 뒤집었다.

잡음에서 인프라로, 뭐가 달라졌나

기존 AI 기반 보안 도구의 가장 큰 문제는 false positive 과다 였다. 취약점을 너무 많이 잡아내 정작 어떤 게 진짜인지 가려내는 데 더 많은 시간이 걸렸다. Mozilla가 구축한 파이프라인은 다르다. AI가 직접 테스트 케이스를 빌드하고 실행한 뒤 false positive를 필터링하는 에이전트형 구조다. 즉, 취약점 후보를 뱉어내는 게 아니라 스스로 검증까지 마친 결과만 올린다.

10~20년간 아무도 발견하지 못했던 버그들이 걸린 이유도 여기 있다. 정적 분석 도구들은 이미 이 코드를 수없이 지나쳤다. 에이전트 파이프라인은 코드를 읽는 게 아니라 실제로 실행하며 검증했다.

빌더가 주목해야 할 구조 변화

Mozilla의 다음 스텝이 더 중요하다. 이제 모든 신규 코드 커밋 전에 자동 보안 점검이 적용된다. '데모'가 아니라 운영 인프라로 편입된 것이다.

개인 빌더에게 이게 의미하는 바는 두 가지다.

• 보안 전문가 없이도 AI 에이전트가 커밋 전 점검을 대신하는 구조가 현실화됐다는 것
• 이 방식을 개인 프로젝트 수준에서 재현할 수 있는 오픈소스 파이프라인이 등장할 가능성이 높아졌다는 것

단, 현재 Claude Mythos Preview는 Mozilla 수준의 대규모 프로젝트를 대상으로 검증됐다. 개인 프로젝트에 그대로 적용하려면 파이프라인 구축 비용과 API 비용을 별도로 따져야 한다.