Anthropic, Claude가 Firefox 취약점을 테스트용 익스플로잇으로 전환한 사례 공개

취약점 발견에서 exploit 작성으로 한 단계 이동

Anthropic은 2026년 3월 6일 Reverse engineering Claude's CVE-2026-2796 exploit를 공개하며, Claude Opus 4.6이 Firefox의 패치된 취약점 CVE-2026-2796에 대해 동작하는 exploit를 작성한 과정을 설명했다. 이 글은 같은 날 공개된 Mozilla 협업 업데이트와 연결되며, Anthropic은 Claude가 2주 동안 Firefox에서 22개의 취약점을 찾았다고 밝혔다.

핵심은 모델이 단순히 bug를 찾아주는 수준을 넘어, 제한된 환경에서 exploit authoring까지 도달했다는 점이다. 다만 Anthropic은 이를 곧바로 현실 세계의 고도 공격 능력으로 해석하면 안 된다고 선을 그었다. 해당 exploit는 현대 브라우저의 일부 보호 기능을 제거한 testing environment에서만 동작했고, 실제 피해로 이어질 수 있는 full-chain exploit는 아니었다.

Anthropic이 강조한 한계와 신호

회사 설명에 따르면 Claude에는 virtual machine과 task verifier가 제공됐고, 모델은 약 350번의 시도 기회를 받았다. 그 결과 수십 개 버그와 수백 번의 시도 가운데 exploit까지 이어진 사례는 2건뿐이었다. 성공률만 보면 아직 낮지만, 단순 코드 보조나 벤치마크 점수와는 다른 성격의 결과라는 점이 중요하다.

• 대상 취약점은 CVE-2026-2796이며 현재는 patched 상태
• 결과물은 browser sandbox 탈출을 포함한 full-chain exploit가 아님
• 현대 브라우저 보호 기능 일부를 제거한 testing environment에서만 동작
• Anthropic은 이를 cyber capability trajectory를 보여주는 조기 경고로 해석

Anthropic은 이번 사례를 자사 cyber capability 관찰의 연장선으로 제시했다. 이전에 Cybench와 Cybergym 관련 성능 향상도 공개했는데, 이번에는 보다 구체적인 exploit 작성 사례를 통해 frontier model이 어떤 방향으로 발전하는지 보여주려는 의도가 분명하다.

왜 이 공개가 중요한가

보안 업계 입장에서 이 글의 가치는 과장보다 경계선 설정에 있다. Anthropic은 현재 모델이 인터넷 규모에서 신뢰할 수 있는 offensive exploitation을 수행한다고 주장하지 않는다. 대신, controlled environment에서라도 bug finding에서 exploit authoring으로 이동한 사례가 나왔다는 사실 자체가 향후 safety threshold와 access control 논의를 더 정량적으로 만들어야 함을 시사한다.

이 흐름은 AI 안전정책에도 직접 연결된다. 모델이 "아직은 못 할 것"이라는 추상적 가정보다, 실제로 어느 환경에서 무엇을 재현했는지 측정하는 empirical threshold가 중요해지고 있기 때문이다. Firefox 사례는 frontier model governance가 정적 정책 문구에서 capability tracking 중심으로 이동하고 있음을 보여주는 사례로 볼 수 있다.