AI 보안 탐색, 오픈소스 프레임워크의 명과 암

커뮤니티에서는 AI를 활용한 취약점 탐색에서 자체적인 '하네스(Harness)' 구축의 중요성이 강조되고 있습니다. tptacek은 사용자가 자신의 작업 스타일에 맞춰 인터페이스, 타겟 명세, 알림 등을 직접 구성하는 것이 최선이라고 주장합니다. baby 역시 자체 하네스가 없으면 코드 생성 모델(Codex/Claude)의 성능을 제대로 활용하기 어렵다고 지적하며, 특히 암호학적 취약점 탐색에서는 더욱 그러하다고 언급합니다. 이는 AI 모델 자체보다 데이터 격리 아키텍처(Data Isolation Architecture)를 포함한 정교한 프레임워크 설계가 핵심임을 시사합니다.

lanyard-textile의 지적처럼, 해당 오픈소스 저장소(Repository)가 현재 유지보수되지 않고 기여를 받지 않는다는 점은 중요한 문제입니다. 이는 오픈소스 프로젝트의 지속 가능성과 커뮤니티 참여에 대한 의문을 제기합니다. tptacek의 의견처럼, 이러한 프레임워크는 아이디어 발상 도구로 활용하고 실제 적용 시에는 자체 구축을 고려하는 것이 현실적인 대안으로 제시됩니다.

simonw는 해당 프레임워크의 운영 비용에 대한 의문을 제기합니다. GitHub 저장소의 가이드라인에 따르면, 에이전트당 분당 상당한 양의 토큰이 소모될 것으로 예상되며, 이는 Opus 모델 사용 시 수백 달러, Mythos 모델 사용 시 수천 달러에 달할 수 있습니다. richardbarosky는 AI 기업들이 강력한 기술 자체보다는 '서비스' 형태로 제공하는 경향을 지적하며, 이는 AI 토큰이 범용적인 가치 창출보다는 특정 패턴 매칭에 더 효과적임을 시사한다고 분석합니다.

baby는 AI가 발견하지 못하는 버그와 AI가 생성하는 과도한 오탐(False Positive) 문제를 동시에 지적합니다. 특히 '바이브 감사(Vibe Auditing)'로 불리는 기계적 분석은 개발자를 지치게 할 수 있다고 경고합니다. 따라서 AI가 탐지하지 못한 버그의 의미를 해석하고, 데이터 미저장 정책(Zero-Retention Policy)을 준수하면서도 효과적인 트리아지 시스템을 구축하는 것이 중요하다고 강조합니다. 이는 AI 도구와 전문 감사팀의 협업 필요성을 시사합니다.