AI 시스템이 12개의 OpenSSL 제로데이 취약점 발견, Curl은 AI 스팸으로 인해 버그 바운티 취소

AISLE의 사이버보안 발견을 위한 자동화된 AI 시스템이 OpenSSL의 최근 보안 릴리스에서 12개의 제로데이 취약점을 모두 발견한 반면, curl은 AI 생성 스팸 제출로 인해 버그 바운티 프로그램을 취소했습니다. 이는 철저하게 감사된 인프라를 대상으로 한 이 규모의 AI 기반 사이버보안의 첫 번째 실제 실증 사례를 나타냅니다.

원본의 주요 세부 사항

AI 시스템은 전 세계 인터넷 트래픽의 최소 3분의 2를 암호화하는 OpenSSL에서 취약점을 발견했습니다. 이 시스템은 버그 바운티 프로그램에서 "자이언트 앤티이터"라는 가명으로 운영되며, 엘리트 보안 연구를 반복 가능한 산업 프로세스로 전환하는 것을 목표로 합니다.

2025년 가을의 이전 결과에는 다음이 포함되었습니다:

• CVE-2025-9230: CMS 비밀번호 기반 암호화를 위한 RFC 3211 KEK 언랩 작업에서의 범위를 벗어난 읽기/쓰기로, 메모리 손상 또는 코드 실행으로 이어질 가능성이 있습니다. 이 버그는 2009년부터 존재했습니다.
• CVE-2025-9231: 64비트 ARM에서의 SM2 타원 곡선 서명에서의 타이밍 사이드 채널로, 실행 시간 변동을 통해 원격 관찰을 통해 개인 키 복구를 허용할 수 있습니다.
• CVE-2025-9232: IPv6 호스트를 파싱할 때 HTTP 클라이언트 no_proxy 처리에서의 범위를 벗어난 읽기로, 제어된 충돌을 유발합니다.

이 시스템은 스캐닝, 분석, 분류 및 익스플로잇 구축을 포함한 전체 루프를 처리합니다. OpenSSL 유지 관리자들은 CVE 발행에 대해 유명하게 보수적이어서, 그들의 수용은 엄격한 외부 벤치마크가 됩니다.

한편, curl은 AISLE가 그들에게 5개의 진짜 CVE를 보고했음에도 불구하고, AI 생성 스팸 제출의 홍수로 인해 버그 바운티 프로그램을 취소했습니다. 이는 AI의 이중적 영향, 즉 제출물의 평균 품질을 붕괴시키는 동시에 중요한 인프라에서 진짜 제로데이를 발견하는 상한선을 높이는 것을 보여줍니다.

2025년 예측 프로젝트인 '프론티어 오브 더 이어'는 AI 기반 취약점 발견을 예상 영향 기준으로 전체 3위에 배치했으며, 일반화될 확률은 0.9입니다.