Mozilla, Anthropic AI red team이 찾은 Firefox 취약점을 Firefox 148 전에 수정

Mozilla는 2026년 3월 6일 Anthropic Frontier Red Team과 진행한 협업을 공개하며, AI-assisted vulnerability discovery workflow가 Firefox에서 의미 있는 보안 결함을 찾아냈다고 밝혔다. Mozilla 설명에 따르면 Anthropic은 frontier model이 실제 보안 팀의 bug hunting을 얼마나 앞당길 수 있는지 보기 위해 브라우저 코드베이스를 대상으로 실험을 제안했다. Firefox처럼 오래됐고 복잡하며 이미 fuzzing과 수동 리뷰가 많이 적용되는 제품에서 이런 접근이 통한다면, 다른 대형 소프트웨어에도 적용 여지가 있다는 뜻이다.

핵심은 결과가 추상적이지 않았다는 점이다. Mozilla는 이번 협업으로 재현 가능한 test case를 갖춘 verifiable vulnerability가 12건 이상 나왔고, Firefox 엔지니어들이 이를 검토해 patch를 반영했다고 설명했다. Anthropic의 동반 기술 글에서는 이 작업이 14건의 high-severity bug, 22건의 CVE, 그리고 약 90건의 추가 bug를 식별했으며, 대부분이 Firefox 148 이전에 수정됐다고 밝혔다. Mozilla는 일부 low-severity 항목은 결국 fuzzers도 잡았을 가능성이 있지만, 다른 항목은 전통적 fuzzing이 놓치기 쉬운 logic error를 드러냈다고 평가했다.

왜 중요한가

이 지점이 소프트웨어 업계 전체에 주는 신호다. Fuzzing은 입력 공간을 넓게 탐색하는 데 강하지만, 프로그램 상태 변화나 권한 경계, 기능 간 상호작용을 여러 단계로 추론해야 하는 취약점에는 상대적으로 약하다. Mozilla의 해석은 frontier model이 기존 도구를 대체하는 것이 아니라, 의심스러운 코드 경로를 가설로 만들고 재현 시나리오를 구성하며 인간 보안 엔지니어가 집중할 지점을 좁혀 주는 보완 계층이 될 수 있다는 것이다.

Mozilla는 이 접근이 실무적으로도 유효하다고 봤다. 회사는 유사한 AI-assisted analysis를 내부 security workflow 일부에 통합하기 시작했다고 밝혔다. 이것이 안정적으로 확장되면 브라우저처럼 복잡한 client software의 patch cycle을 줄이고, 대규모 red team을 상시 운영하기 어려운 조직에도 현실적인 보안 개선 경로를 줄 수 있다.

앞으로 볼 포인트

• Firefox 148 이후 릴리스에서도 model-assisted review에서 나온 보안 수정이 계속 누적되는지.
• Mozilla가 low-signal alert를 얼마나 잘 걸러내며 엔지니어링 비용을 통제할 수 있는지.
• 브라우저 벤더들이 AI-assisted vulnerability discovery의 공통 benchmark와 운영 기준을 공개하기 시작하는지.

AI 회사 입장에서도 의미가 크다. 추상적인 safety 담론이 아니라, 수억 명이 쓰는 production software에서 측정 가능한 보안 결과로 연결됐기 때문이다.