AI 취약점 발견이 패치 배포 시간을 앞지르고 있습니다

AI 기반 보안의 속도 문제

Mythos 생태계와 연관된 보안 전문가는 AI가 발견한 취약점과 적용된 패치 사이의 배포 지연에 대한 우려를 제기합니다. 핵심 주장: Mythos와 같은 AI 도구가 전례 없는 속도로 취약점을 찾고 수정할 수 있다 하더라도, 하류 배포 파이프라인이 따라잡지 못한다는 것입니다.

논의의 주요 포인트

• 더 많은 취약점이 발견될 것: Mythos와 같은 AI 모델이 취약점을 더 효과적으로 발견할 수 있으며, 추세가 계속되면 훨씬 더 많은 취약점이 발견될 것입니다.
• 익스플로잇 체이닝이 게임 체인저: 중요한 능력은 단순히 취약점을 찾는 것이 아니라, 이를 순차적으로 연결하여 창의적인 익스플로잇 체인을 개발하는 것입니다.
• 발견 대 수정 불균형: 저자는 Mythos가 취약점을 찾는 만큼 효과적으로 수정을 제공할 수 있을지 의심하며, "수정할 수 있는 것보다 더 많이 발견할" 것이라고 예측합니다.
• 배포 병목 현상: 즉각적인 수정이 있더라도, 패치는 상류 수용, 테스트, 승인 과정 및 하류 패키징에서 지연을 겪습니다.

배포 타임라인 데이터

출처는 중요한 취약점에 대한 AI 생성 시간 척도를 제공합니다:

• 상류 수정: 핵심 프로젝트 팀 확인 후 24~48시간
• 하류 패키징: 주요 배포판(Ubuntu LTS, RHEL, Debian Stable)이 백포트하고 테스트하는 데 12~48시간
• 사용자 이용 가능: 최초 공개 공개 후 2~5일

실제 패치 통계

Log4j를 예로 들면:

• 10일차: 조직은 취약한 클라우드 리소스의 45%만 패치했습니다
• 평균 수정 시간: 탐지 및 추적된 시스템의 경우 17일
• 우선 순위 패칭: 외부 노출 시스템은 평균 12일; 내부 시스템은 뒤처졌습니다
• 1년 차: 조직의 72%가 여전히 취약한 Log4j 인스턴스를 최소 하나 보유했습니다
• 장기적 전망: 미국 국토안보부의 CSRB는 글로벌 소프트웨어 공급망에서 Log4j를 완전히 제거하는 데 10년 이상 걸릴 것이라고 예측했습니다

핵심 과제

발견 대 수정 비율이 동일하더라도(그러지 않을 것이지만) 타이밍 문제는 지속됩니다. 상류 프로젝트부터 최종 사용자 배포까지 전체 하류 시스템은 AI가 발견한 취약점이 악용되기 전에 완화하는 데 필요한 속도로 움직일 수 없습니다. 이는 개발자 스트레스와 시간과 자원을 소모하는 비상 모드 전환을 초래합니다.