Google, Big Sleep 취약점 발견 이후 AI 기반 오픈소스 보안 패치 공개

발표 핵심

Google Security Blog는 2026년 2월 12일, AI 에이전트 Big Sleep의 실제 취약점 탐지 사례를 바탕으로 오픈소스 보안 생태계에 기여하는 코드를 공개했다고 밝혔다. 발표에 따르면 Big Sleep은 OpenSSL의 취약점 CVE-2025-6965를 찾아냈고, Google은 관련 패치를 upstream에 반영했다. Google은 이 사례를 AI 보안 탐지 도구가 연구 단계를 넘어 운영 환경에서 효과를 보일 수 있다는 근거로 제시했다.

연속된 사례와 오픈소스 환류

같은 글에서 Google은 2026년 1월, Big Sleep이 NVIDIA Triton에서 취약점을 탐지했고 이후 CVE-2025-23319로 패치가 배포됐다고 설명했다. 이번 공개는 단발성 성과 공유가 아니라, 실제 탐지 경험을 다시 오픈소스 도구 개선으로 환류시키는 구조에 가깝다.

• AI 기반 취약점 탐지 개선 패치 공개
• 적용 대상: OSS-Fuzz, Open Source Vulnerabilities
• 파트너십 맥락: OpenSSF, Google, Rust Foundation

왜 중요한가

오픈소스 컴포넌트는 클라우드, AI 서비스, 엔터프라이즈 소프트웨어 전반의 기반이다. 따라서 취약점 발견 속도와 patch 배포 속도는 보안 리스크와 직결된다. Google의 이번 발표가 의미 있는 지점은, AI를 단순 보조 분석기가 아니라 실제 취약점 탐지 파이프라인의 일부로 배치하고 그 결과를 공용 인프라에 되돌렸다는 점이다.

운영 관점에서 기업 보안팀이 주목할 포인트는 두 가지다. 첫째, AI 기반 탐지가 기존 fuzzing 및 SAST/DAST 체계를 완전히 대체하기보다는 탐지 범위를 확장하는 방식으로 결합되고 있다는 점. 둘째, 탐지 성과의 검증 기준이 모델 데모가 아니라 CVE 발급과 upstream patch 같은 객관적 지표로 이동하고 있다는 점이다. 이는 2026년 보안 엔지니어링에서 AI 도입 평가 기준이 점차 더 엄격해지고 있음을 보여준다.

출처: Google Security Blog