Anthropic, Claude가 Mozilla 협업 2주 만에 Firefox 취약점 22개 발견했다고 공개

Anthropic은 2026년 3월 6일 X에서 frontier model이 이제 world-class vulnerability researcher 수준에 도달했지만, 아직은 버그를 찾는 능력이 exploit을 만드는 능력보다 앞서 있다고 밝혔다. 이 글은 Mozilla와 함께 Firefox 보안을 테스트한 공식 글로 연결된다. Anthropic에 따르면 Claude Opus 4.6은 2주 동안 Firefox 취약점 22개를 찾아냈고, 이 중 14개는 high-severity였다. 회사는 이 수치가 Mozilla가 2025년에 수정한 high-severity bug 전체의 약 5분의 1에 해당한다고 설명했다.

이 발표가 중요한 이유는 추상적인 cyber benchmark가 아니라, 실제로 널리 배포된 대규모 codebase를 대상으로 한 결과이기 때문이다. 단순한 CTF나 synthetic test가 아니라 Mozilla가 실제로 remediated한 취약점과 연결되는 결과라는 점에서 운영적 의미가 크다. Anthropic의 메시지는 분명히 defensive하다. 현재 모델은 약점을 식별하고 검증하는 쪽에서 더 강하고, 개발자는 그 비대칭이 유지되는 동안 software security를 더 빠르게 끌어올려야 한다는 것이다.

• 범위: Mozilla와의 구조화된 Firefox 보안 협업.
• 결과: 2주 동안 22개 취약점, 그중 14개 high-severity.
• 메시지: 지금의 frontier model은 방어적 보안 작업을 실질적으로 가속하지만, 공격 능력도 계속 개선될 가능성이 높다.

정책적 의미도 작지 않다. AI와 cybersecurity 논의는 종종 미래의 공격 시나리오에 집중되지만, 이 사례는 방어적 활용이 이미 실무 단계에 들어왔음을 보여준다. 대규모 repository를 읽고 project context를 따라가며 candidate vulnerability를 찾아내는 모델은 보안 검토의 경제성을 바꿀 수 있다. 인력이 부족한 maintainer에게는 완전 자율 공격보다도 더 즉각적인 가치가 더 빨리 찾아내고 더 빨리 고치는 데 있을 수 있다.

동시에 Anthropic의 경고도 중요하다. 회사는 현재의 균형이 오래 지속된다고 말하지 않는다. 오히려 지금 defenders에게 유리한 창이 열려 있으니 그 시간을 낭비하지 말라고 말한다. 그래서 Mozilla 협업은 단순한 연구 성과를 넘어 timing signal로 읽힌다. secure development process를 현대화하지 않는 조직은 AI가 찾기와 수정에 특히 유리했던 시기를 놓칠 수 있다.