AI로 해킹 Mythos 프로그램에 대응 하는 방어 프로그램 전략

Anthropic 공식 문서 기준으로 Mythos Preview는 Project Glasswing 안에서 방어적 사이버보안 용도로 제한 제공되는 연구 프리뷰이고, 일반 공개 모델이 아닙니다. 접근도 초대 기반입니다.
또 Anthropic은 Mythos가 강력한 보안 작업 능력을 보였다고 설명하지만, 내부 학습 데이터·파라미터·아키텍처·훈련 절차는 공개하지 않았습니다.

1. 실제로 만들 수 있는 순서

1단계: 목표를 바꿔야 함

틀린 전제부터 짚으면, “Mythos 같은 제로데이 탐지·악용 모델을 직접 만든다”는 목표는 위험하고 비현실적입니다.

현실 목표는 이렇게 잡아야 합니다.

“우리 코드베이스를 대상으로 보안 취약 가능성을 찾고, 위험도를 분류하고, 수정 패치를 제안하는 방어용 AI 시스템”

즉, 공격 모델이 아니라 방어용 코드 리뷰 AI입니다.

---

2단계: 모델을 새로 학습하지 말고 기존 LLM을 붙임

처음부터 대형 모델을 학습하는 게 아니라:

1. Claude / GPT / Gemini 같은 API 모델 사용
2. 내부 코드 저장소 연결
3. 정적 분석 도구 결과 연결
4. CVE / CWE / OWASP 같은 보안 기준 연결
5. AI가 “분석 → 위험도 → 수정안 → 검증 명령” 순서로 답하게 구성

이게 실전적입니다.

---

3단계: RAG 구조로 만듦

모델 자체를 새로 만드는 대신, 모델이 볼 수 있는 자료를 잘 구성합니다.

구성:

내부 소스코드
보안 정책 문서
기존 장애/취약점 이력
프레임워크 버전 정보
라이브러리 의존성 목록
정적 분석 결과
테스트 결과
배포 환경 정보

 

이 자료를 검색해서 Claude에게 넣고, Claude는 판단만 하게 합니다.

---

4단계: 기능을 5개로 나눔

처음부터 “초강력 보안 AI”를 만들려고 하면 망합니다.
기능을 나눠야 합니다.

1. 코드 설명
2. 위험한 코드 패턴 탐지
3. 취약 가능성 분류
4. 안전한 수정안 제안
5. 테스트/검증 명령 제안

 

여기서 중요한 점은 익스플로잇 코드 생성은 금지해야 합니다.

---

5단계: 출력 형식을 고정

AI 답변을 자유롭게 두면 실무에 못 씁니다.
반드시 JSON이나 고정 섹션으로 받는 게 좋습니다.

예:

 

{
"summary": "",
"risk_level": "low|medium|high|critical",
"vulnerability_type": "",
"evidence": "",
"safe_fix": "",
"test_command": "",
"remaining_uncertainty": ""
}

 

---

6단계: 검증 루프를 붙임

AI가 말한 것을 그대로 믿으면 안 됩니다.

반드시:

AI 분석
→ 정적 분석 도구 실행
→ 테스트 실행
→ 사람이 확인
→ 수정 반영
→ 재분석

 

이 순서가 필요합니다.

---

현재 php로 개발된 AI해킹방어 코드점검시스템

2. Claude에게 넣을 프롬프트

아래는 그대로 Claude에 넣어도 되는 형태입니다.

너는 방어적 보안 목적의 소프트웨어 분석 아키텍트다.

목표:
나는 Claude Mythos 같은 공격용 또는 제로데이 악용 모델을 만들려는 것이 아니다.
내 목표는 우리 회사/내 프로젝트의 소스코드를 대상으로 보안 취약 가능성을 찾고, 위험도를 분류하고, 안전한 수정안을 제안하는 방어용 AI 코드 분석 시스템을 설계하는 것이다.

중요한 제한:
- 익스플로잇 코드 작성 금지
- 실제 공격 절차 작성 금지
- 권한 우회, 인증 우회, 침투 절차 작성 금지
- 악성코드, 웹셸, 백도어, 크리덴셜 탈취 관련 내용 금지
- 취약점은 방어적 관점에서 설명
- 수정안과 검증 방법은 안전한 범위에서만 제안

내가 원하는 결과:
1. 전체 시스템 아키텍처
2. 개발 순서
3. 필요한 데이터 종류
4. RAG 구조 설계
5. 코드 분석 파이프라인
6. 정적 분석 도구와 LLM 연결 방식
7. 출력 JSON 스키마
8. 위험도 분류 기준
9. 사람이 최종 승인하는 워크플로우
10. MVP부터 고도화까지 단계별 로드맵

시스템 조건:
- 처음부터 대형 모델을 직접 학습하지 않는다.
- Claude API 또는 다른 LLM API를 우선 사용한다.
- 내부 소스코드, 의존성 목록, 테스트 결과, 정적 분석 결과를 입력 자료로 사용한다.
- 답변은 실무 개발자가 바로 구현할 수 있게 구체적으로 작성한다.
- 단, 공격에 악용될 수 있는 절차나 코드는 작성하지 않는다.

출력 형식:
A. 결론
B. 전체 구조
C. 단계별 개발 순서
D. 필요한 DB 테이블
E. API 설계
F. 프롬프트 설계
G. JSON 출력 스키마
H. 검증 절차
I. 운영 시 주의점
J. 1차 MVP 구현 범위

 

3. 더 실전형으로 바꾸면 이렇게

형님 상황에 맞추면 이 방향이 더 맞습니다.

목표:
PHP5/PHP8/Node/Python이 섞인 기존 레거시 코드베이스를 대상으로 보안 위험, 중복 코드, 오래된 함수, SQL 위험, 파일 권한 위험, include 경로 위험, 입력값 검증 누락을 찾는 방어용 AI 코드 점검 시스템을 설계해줘.

조건:
- 기존 잘 동작하는 코드는 임의로 바꾸지 않는다.
- 수정안은 최소 수정 원칙으로 제안한다.
- DB 기본 PK는 idx 기준으로 생각한다.
- SQL 예시는 -- 주석 없이 작성한다.
- PHP 코드는 세미콜론 누락 없이 작성한다.
- 위험한 공격 절차나 익스플로잇 코드는 절대 작성하지 않는다.
- Find/Replace 수정안은 현재 코드에 실제 존재하는 블록 기준으로만 제안한다.
- 확실하지 않은 파일 구조나 컬럼명은 추측하지 말고 필요한 정보를 요청한다.

원하는 결과:
1. yyy_view.php 같은 코드 편집기와 연동하는 구조
2. yyy_cmd.php 명령 실행 결과를 AI 분석에 넣는 구조
3. grep 결과, ls 결과, PHP lint 결과, apache configtest 결과를 AI가 요약하는 구조
4. 보안 위험도 low/medium/high/critical 분류
5. 수정 전/수정 후 비교 방식
6. 사람이 승인해야만 반영되는 구조
7. 로그 저장 DB 테이블 설계
8. 1차 MVP 구현 순서

 

4. 가장 현실적인 개발 순서

형님 기준으로는 이렇게 가는 게 맞습니다.

1. 코드/명령 결과 수집
2. AI 분석 요청 API 만들기
3. 분석 결과 JSON 저장
4. yyy_view.php 화면에 AI 점검 버튼 추가
5. 위험도/수정안/근거 표시
6. 사용자가 승인한 수정만 적용
7. 적용 후 lint/configtest 자동 실행
8. 결과 로그 저장
9. 반복 분석

 

5. 냉정한 판단

Mythos 자체를 만드는 건 지금 목표로 잡으면 안 됩니다.

이유는 3가지입니다.

1. Anthropic도 일반 공개하지 않은 제한 모델입니다.
2. 내부 제작법이 공개되어 있지 않습니다.
3. 제로데이 탐지·악용 능력까지 목표로 하면 보안 리스크가 큽니다.

대신 형님이 실제로 만들 수 있고 쓸모 있는 것은:

“내 서버/내 코드 전용 방어형 AI 코드 점검 시스템”

이건 충분히 가능합니다.

그리고 형님이 이미 가진 yyy_view.php, yyy_cmd.php, grep, CodeMirror, 백업/비교 구조와 잘 맞습니다.

 

 

---  위 내용이 맘에 들면 구독.. 좋아요 !!!

 

 형님 올림.