Anthropic, Claude가 찾은 취약점용 disclosure 원칙 공개

Anthropic가 정리한 운영 원칙

Anthropic는 2026년 3월 6일, Claude를 포함한 자사 AI system이 찾아낸 취약점에 대한 coordinated vulnerability disclosure 접근법을 공개했다. 적용 대상은 open-source project와, 테스트 권한이 명시적으로 허용된 closed-source software다.

이 문서가 중요한 이유는 AI-assisted coding·analysis system이 실제 소프트웨어 결함을 찾아내는 능력이 빠르게 커지고 있기 때문이다. Anthropic는 이 역량이 더 커지기 전에 운영 원칙을 먼저 세우려는 모습이다. 회사는 모든 보고가 공개 전 human review와 사실 확인을 거쳐야 하며, 취약점 발견이나 candidate patch에 AI가 관여했는지도 명확히 표시하겠다고 밝혔다.

구체적인 시한과 escalation

Anthropic의 기본 disclosure 기간은 90 days다. maintainer가 적극적으로 대응하면서 시간을 요청하면 14-day extension을 허용할 수 있다고 했다. 이미 악용 중인 critical vulnerability의 경우에는 7 days 안에 공개하는 것을 목표로 하고, fix 작업이 진행 중이면 추가 7-day extension 가능성도 열어뒀다.

maintainer가 30 days 동안 응답하지 않으면 외부 coordinator로 escalation하고, 원래 공개 일정을 가능한 한 유지하겠다고 했다. 또 patch가 준비된 뒤에는 downstream user가 수정 사항을 반영할 시간을 주기 위해 full technical details 공개를 일반적으로 45 days 늦춘다고 설명했다.

• Human review: 모든 보고는 제출 전 검증을 거친다.
• Provenance labeling: AI가 발견한 취약점과 AI가 제안한 patch 여부를 표시한다.
• Submission pacing: 합의 없이 한 project에 대량 보고를 쏟아붓지 않겠다고 명시했다.

더 큰 의미는 frontier AI lab의 책임 범위를 넓힌다는 점이다. coding agent가 대규모로 취약점을 찾아내는 단계에 들어서면 속도만이 아니라 증거, patch coordination, downstream risk 관리까지 함께 요구된다. Anthropic는 model만 내놓고 생태계 부담을 maintainer에게 넘기지 말아야 한다는 기준을 제시한 셈이다.