Anthropic, Claude가 찾은 취약점 disclosure 기준 공식화

Anthropic는 Mar 6, 2026, Claude의 도움으로 발견한 취약점에 적용할 coordinated vulnerability disclosure 정책을 공개했다. 핵심은 AI가 찾아낸 이슈도 기존 보안 커뮤니티의 공개 규범 안에서 처리하겠다는 점이다. Anthropic는 외부로 보내는 모든 report를 인간 보안 연구자가 검토하고 확인하며, AI-powered discovery에서 나온 결과는 그 사실을 명시하겠다고 밝혔다.

기본 일정은 maintainer나 vendor에게 처음 통보한 시점부터 90일이다. 90일 기한이 가까워졌는데 수정 작업이 진행 중이면 요청에 따라 14-day extension을 허용할 수 있다. 반대로 이미 활발히 악용되고 있는 critical 취약점은 훨씬 짧다. Anthropic는 patch 또는 mitigation을 7일 안에 마련하는 것을 목표로 하고, maintainer가 적극적으로 fix를 진행 중이면 추가로 7일을 더 줄 수 있다고 설명했다.

운영 방식도 비교적 구체적이다. 가능하면 candidate fix를 함께 제공하고, 하나의 프로젝트가 감당하기 어려운 양의 findings를 한꺼번에 보내지 않으며, 30일 동안 응답이 없으면 external vulnerability coordinator로 escalation하겠다는 기준을 적었다. 여러 프로젝트에 동시에 영향을 미치는 ecosystem-wide 문제는 공개 전에 관련 maintainer들에게 먼저 정보를 전달해 대응 시간을 주겠다고도 했다.

기술 세부사항 공개 시점에도 완충 구간이 있다. Anthropic는 patch가 준비된 뒤에도 일반적으로 45일 동안 full technical details 공개를 미뤄 downstream 사용자가 fixes를 배포할 시간을 확보하겠다고 했다. 다만 정보가 이미 널리 알려졌거나 조기 공개가 방어 측에 실질적으로 도움이 되는 경우에는 이 기간을 줄일 수 있고, remediation이 unusually complex한 경우에는 더 늘릴 수도 있다.

이 정책이 중요한 이유는 frontier model이 취약점 탐지 과정에 본격적으로 들어오기 시작했기 때문이다. Anthropic는 Claude를 단순한 research demo가 아니라 실제 disclosure workflow에 연결하려 하고 있다. 오픈소스 maintainer, software vendor, 기업 보안팀 모두에게 AI-assisted vulnerability research를 어떤 규칙 아래 운영할지 보여주는 기준점이 될 가능성이 크다.