a16z crypto에서 현재 선두에 있는 AI 보안 솔루션들과 바이브코딩 시대에서의 AI 보안에 대한 글이 올라왔습니다. @peachmint님이 공유해주셔서 읽어봤네요. 글에서 소개한 AI 보안 솔루션들은 크게 3가지입니다. 1. AIxCC (미 국방성 개최 AI 보안 솔루션 대회) 에 출전한 솔루션들 • 퍼징을 자동화하는데에 집중되어있고, 완전히 새로운 방식보다는 기존 도구를 AI에 잘 엮는 형태가 대부분이었음. 취약점 탐지 이후 패치 작업에 대해서는 파인튜닝된 모델 사용 2. 구글의 Big Sleep • 인간 보안연구원의 행동을 모방한 에이전트. 주로 C 코드에서의 메모리 취약점 발견, address sanitizer로 증명 • 취약점 패치는 못하고 탐지만 가능. 현재 구글에서 개발중인 CodeMender 프로젝트가 이를 개선할 것으로 기대됨 3. OpenAI의 Aardbark • 버그 탐지에 집중한다기보다는 인간 연구원을 보조할 수 있는 추론 능력 기반의 어시스턴트에 가까울 것으로 예상됨 글에서는 현재 바이브코딩 시대 프로그램들이 코드가 균일하지 않고 보안 방식이 제각각이라 기존의 보안 시스템이 일관되게 적용되기 힘들다. 특히 AI 보안 시스템은 취약점 식별과 패치에 할루시네이션을 많이 겪는다. 그럼에도 이 문제를 해결할 도구는 AI가 될 것이며, 특수 목적의 모델과 에이전트 시스템이 점차 발전할 것으로 기대한다고 정리하고있습니다. 기대한 것보다 약간은 원론적인 이야기라 약간 김이 샜는데, AIxCC 얘기가 나온 김에 AIxCC 본선 진출작들의 접근법과 근황에 대해 좀 더 얘기해보겠습니다. 심심하면 보세요 1위: Team Atlanta의 Atlantis • 조지아텍, 삼성리서치, 카이스트, 포스텍 연합팀 • 퍼징 + symbolic execution + 파인튜닝한 자체 모델 • 언어별 / 단계별로 다른 전략의 에이전트 사용 • github.com/Team-Atlanta/aixcc-... 2위: Trail of Bits의 Buttercup • 전통퍼징도구 (libfuzzer 등) + 비추론 LLM => 높은 비용효율성 • github.com/trailofbits/butterc... 3위: 티오리의 Roboduck • 전통 바이너리 분석기법보다는 최신 LLM에 코드 분석 의존. 전통기법은 백업으로 사용 • 인간 보안연구원 워크플로우 재현하는 방향 • 상용 보안솔루션 Xint Code로 개발중 • github.com/theori-io/aixcc-afc... 4위: All You Need IS A Fuzzing Brain의 Fuzzing Brain • Roboduck과 마찬가지로 LLM 의존, 퍼징 폴백 • 23개의 서로 다른 LLM 전략 병렬 실행 • github.com/o2lab/afc-crs-all-y... 5위: Shellphish의 Artiphishell • UC 산타바바라, 애리조나주립대, 퍼듀 연합팀 • LLM 커버리지 피드백 기반으로 진화하는 문법 생성, 복잡한 입력 포맷 퍼징에 특화된 GrammarGuy 개발 • 정적 분석 - 동적 분석 - 트리아지 - 패칭으로 이어지는 파이프라인 6위: 42-b3yong-bug의 BugBuster • 노스웨스턴대 등 연합 • 퍼징 중심의 취약점 탐지 • 취약점 탐지 개수는 2위 였으나 패치 성공률이 낮아 최종순위가 낮았음 7위: 미국 방산기업 SIFT의 Lacrosse • 10년 전의 기존 시스템을 현대화 • 퍼징 + symbolic reasoning • github.com/siftech/afc-crs-lac... 원문: a16zcrypto.com/posts/article/a...