AI 시스템이 12개의 OpenSSL 제로데이 취약점 발견, Curl은 AI 스팸으로 인해 버그 바운티 취소

AISLE의 사이버보안 발견을 위한 자동화된 AI 시스템이 OpenSSL의 최근 보안 릴리스에서 12개의 제로데이 취약점을 모두 발견한 반면, curl은 AI 생성 스팸 제출로 인해 버그 바운티 프로그램을 취소했습니다. 이는 철저하게 감사된 인프라를 대상으로 한 이 규모의 AI 기반 사이버보안의 첫 번째 실제 실증 사례를 나타냅니다.
원본의 주요 세부 사항
AI 시스템은 전 세계 인터넷 트래픽의 최소 3분의 2를 암호화하는 OpenSSL에서 취약점을 발견했습니다. 이 시스템은 버그 바운티 프로그램에서 "자이언트 앤티이터"라는 가명으로 운영되며, 엘리트 보안 연구를 반복 가능한 산업 프로세스로 전환하는 것을 목표로 합니다.
2025년 가을의 이전 결과에는 다음이 포함되었습니다:
- CVE-2025-9230: CMS 비밀번호 기반 암호화를 위한 RFC 3211 KEK 언랩 작업에서의 범위를 벗어난 읽기/쓰기로, 메모리 손상 또는 코드 실행으로 이어질 가능성이 있습니다. 이 버그는 2009년부터 존재했습니다.
- CVE-2025-9231: 64비트 ARM에서의 SM2 타원 곡선 서명에서의 타이밍 사이드 채널로, 실행 시간 변동을 통해 원격 관찰을 통해 개인 키 복구를 허용할 수 있습니다.
- CVE-2025-9232: IPv6 호스트를 파싱할 때 HTTP 클라이언트 no_proxy 처리에서의 범위를 벗어난 읽기로, 제어된 충돌을 유발합니다.
이 시스템은 스캐닝, 분석, 분류 및 익스플로잇 구축을 포함한 전체 루프를 처리합니다. OpenSSL 유지 관리자들은 CVE 발행에 대해 유명하게 보수적이어서, 그들의 수용은 엄격한 외부 벤치마크가 됩니다.
한편, curl은 AISLE가 그들에게 5개의 진짜 CVE를 보고했음에도 불구하고, AI 생성 스팸 제출의 홍수로 인해 버그 바운티 프로그램을 취소했습니다. 이는 AI의 이중적 영향, 즉 제출물의 평균 품질을 붕괴시키는 동시에 중요한 인프라에서 진짜 제로데이를 발견하는 상한선을 높이는 것을 보여줍니다.
2025년 예측 프로젝트인 '프론티어 오브 더 이어'는 AI 기반 취약점 발견을 예상 영향 기준으로 전체 3위에 배치했으며, 일반화될 확률은 0.9입니다.
📖 전체 원본 읽기: HN AI Agents
👀 See Also

에이전트 격리 보안 분석: 샌드박스 없음에서 파이어크래커 VM까지
Cursor, Claude Code, Devin, OpenAI, E2B가 에이전트 워크로드를 어떻게 격리하는지 분석합니다. 샌드박스 없음부터 하드웨어 격리된 Firecracker 마이크로VM까지 다양한 접근 방식을 다룹니다. 컨테이너 런타임은 2019년 이후 매년 탈출 CVE가 발생한 반면, Firecracker는 7년간 게스트-호스트 탈출 사례가 단 한 건도 없습니다.

CVE-2026-LGTM: AI 에이전트들이 서로를 신뢰할 때 모든 것이 망가진다
7개의 AI 보안 게이트가 악성 패키지를 막지 못해 자격 증명이 유출되고 170만 달러의 추론 비용이 발생한 풍자적이지만 현실적인 사고 보고서입니다.
48개 AI 생성 앱의 정적 분석 결과: 90%가 보안 취약점 보유
한 개발자가 Lovable, Bolt, Replit으로 빌드된 48개의 공개 GitHub 저장소를 스캔했습니다. 90% 이상이 최소 하나의 취약점을 가지고 있었습니다. 일반적인 문제: 인증 누락(44%), SECURITY DEFINER Postgres 함수(33%), BOLA/IDOR(25%), 커밋된 비밀(25%).

에이전트-드리프트: AI 에이전트를 위한 보안 모니터링 도구
없음