로그인
회원가입
계정찾기
AI Services

AI 뉴스

AI 코딩 도구가 위험한 보안 결함 생성

xtalfi
2025.11.27 15:58
936
0
0
목록

Will-AI-Fix-Our-Code-Security-Problems.jpg

인공지능 코딩 어시스턴트가 개발자들 사이에서 인기를 얻고 있는 가운데, 새로운 연구 결과가 우려스러운 보안 환경을 드러냈습니다. 애플리케이션 보안 기업 Endor Labs의 조사에 따르면, AI 코딩 에이전트가 권장하는 종속성 중 단 5분의 1만이 안전하게 사용할 수 있는 것으로 나타났습니다.​

이번 달 발표된 회사의 2025 종속성 관리 현황 보고서에서는 AI 모델에 따라 코딩 에이전트가 가져온 종속성의 44-49%가 알려진 보안 취약점을 포함하고 있다는 것을 발견했습니다. 나머지 안전하지 않은 종속성은 "환각된" 패키지로 구성되어 있었는데, 이는 그럴듯하게 들리지만 실제로는 존재하지 않는 소프트웨어 구성 요소로서, "슬롭스쿼팅(slopsquatting)"이라고 불리는 새로운 공급망 공격의 여지를 만들어냅니다.​

보안 우려는 결함이 있는 종속성을 넘어 확장됩니다. IEEE의 기술과 사회에 관한 국제 심포지엄에 발표된 연구에서는 AI가 생성한 코드가 연구자들이 "피드백 루프 보안 저하"라고 부르는 현상을 경험한다는 것을 밝혔습니다. 40라운드 반복에 걸친 400개의 코드 샘플을 분석한 결과, 이 연구는 AI 주도 코드 개선의 단 5번의 반복 후 중대한 취약점이 37.6% 증가했다는 것을 문서화했습니다. 후기 반복은 초기 반복보다 일관되게 더 많은 취약점을 생성했으며, 이는 반복적인 개선이 코드 품질을 향상시킨다는 가정에 의문을 제기합니다.​


전통적인 버그를 넘어선 설계 결함

아키텍처와 의도를 고려하는 인간 개발자와 달리, AI 모델은 다음 토큰을 예측하여 암호화 라이브러리를 교체하거나, 토큰 수명을 변경하거나, 인증 로직을 수정함으로써 보안을 약화시키는 미묘한 설계 결함을 도입합니다. 학술 연구에 따르면 AI가 생성한 코드의 약 3분의 1이 알려진 취약점을 포함하고 있으며, Veracode의 100개 이상의 대규모 언어 모델에 대한 종합 분석에서는 AI가 생성한 코드의 45%가 보안 결함을 도입하는 것으로 나타났습니다.​

이 문제는 프로그래밍 언어 전반에 걸쳐 나타나지만, 심각도는 다양합니다. Java는 72%의 보안 실패율로 가장 높은 위험을 보이는 반면, Python은 62%의 보안 통과율을, JavaScript는 57%, C#은 55%를 나타냅니다. 크로스 사이트 스크립팅과 로그 인젝션은 특히 문제가 되는데, AI 모델이 각각 86%와 88%의 비율로 안전하지 않은 코드를 생성합니다.​

최근 사건들은 이러한 위험을 강조합니다. OX Security 테스트에서 Lovable, Base44, Bolt를 포함한 AI 앱 빌더가 사용자가 명시적으로 보안 애플리케이션을 요청했을 때조차 기본적으로 저장된 크로스 사이트 스크립팅 취약점이 있는 코드를 생성하는 것으로 밝혀졌습니다. 한편, 연구자들은 GitHub Copilot과 GitLab Duo에서 소스 코드 도용, 프롬프트 인젝션 공격, 자격 증명 탈취를 가능하게 하는 심각한 취약점을 발견했습니다.​


새로운 공격 표면

AI 에이전트를 타사 도구 및 통합과 연결하는 Model Context Protocol은 또 다른 취약점 벡터로 부상했습니다. 이번 주 정리된 보안 타임라인은 샌드박스 탈출, 악성 서버 패키지, 수천 개의 애플리케이션을 노출시킨 과도한 권한의 API 토큰을 포함하여 2025년 내내 발생한 여러 MCP 관련 침해 사례를 문서화하고 있습니다. Endor Labs 연구원들은 MCP 서버의 75%가 개인 개발자에 의해 구축되었으며, 41%는 라이선스 정보가 부족하고, 82%는 신중한 보안 통제가 필요한 민감한 API를 사용하고 있다는 것을 발견했습니다.​

"AI 코딩 에이전트는 현대 개발 워크플로우의 필수적인 부분이 되었습니다"라고 Endor Labs의 보안 연구원 Henrik Plate는 말했습니다. "충분한 검증 없이는 악용을 위한 새로운 경로를 열 수 있습니다."​

AI 코딩 도구의 확산은 둔화될 기미를 보이지 않습니다. Stack Overflow의 2025년 개발자 설문조사에 따르면, 개발자의 84%가 개발 프로세스에서 AI 도구를 사용 중이거나 사용할 계획이며, 전문 개발자의 51%가 매일 이를 사용하고 있습니다. 그러나 개발자 신뢰는 도입에 뒤처지고 있습니다: 46%가 AI 도구 출력의 정확성을 적극적으로 불신하고 있으며, 이는 전년도 31%에서 증가한 수치이고, 66%는 "거의 맞지만 완전히 맞지는 않은 AI 솔루션"에 대한 불만을 언급했습니다.

댓글 0
목록
전체 1,366 / 138 페이지
우크라이나, 최초의 AI 제어 드론 방벽 방어 시스템 배치
우크라이나, 최초의 AI 제어 드론 방벽 방어 시스템 배치
(퍼플렉시티가정리한기사)우크라이나는수백대의요격드론을자율적으로조정하여들어오는위협에대응할수있는AI기반"드론방어벽"방어시스템을배치한최초의국가가되었으며,러시아의집중적인공중공격에맞서싸우는가운데방공기술의새로운지평을열었습니다.프랑스스타트업Atreyd가개발하고NATO혁신경진대회를통해선정된DWS-1시스템은이번달우크라이나에도착했으며몇주내에작전운용될것으로예상됩니다.이번배치는실제전투상황에서이러한방어시스템이테스트되는최초의사례입니다.​혁명적방어아키텍처이시스템은지상기지에서발사되는200대의1인칭시점요격드론으로구성되어있으며,Atreyd의창립자는이를하늘의"비행하는드론지뢰밭"이라고묘사했다.각드론은단몇천달러의비용이드는소형폭발탄두를탑재하고있으며,들어오는무기근처에서폭발하여목표물에도달하기전에위협을무력화하도록설계되었다.​인공지능을통해단일운영자가최대100대의드론을동시에제어할수있으며,시스템은감지된위협궤적에따라방어막의구조를자동으로조정한다.이기술은3D지형매핑과아군식별시스템을통합하여GPS가차단된환경에서도작동할수있도록하는데,이는러시아가우크라이나에서전자전을광범위하게사용하고있다는점을고려할때매우중요한능력이다.​Atreyd의창립자는BusinessInsider에"우리는스스로를방어의마지막계층으로간주합니다"라고말했다.위협을요격하지않은드론은재사용을위해발사플랫폼으로돌아올수있어운영비용을더욱절감할수있다.​NATO혁신을위한시험장Atreyd는2025년3월에시작된NATO의혁신도전과제에서러시아의활공폭탄과공격드론에대한대응책을개발하기위한3개최종후보중하나로선정되었습니다.다른최종후보로는독일의TYTANTechnologies와프랑스의AltaAres가있으며,이들도현재우크라이나에서테스트중인요격드론시스템을개발했습니다.​드론장벽은초기에러시아의Shahed형배회탄약으로부터도시와주요기반시설을방어할예정입니다.이러한탄약은전례없는수량으로우크라이나에발사되었으며,2025년첫10개월동안44,000발이상이발사되어2024년전체대비303%증가했습니다.이러한위협에대해성공적으로작동한다면,이시스템은전선에더가까이배치되어러시아의활공폭탄을요격할수있으며,이는대응하기매우어려운것으로악명높은파괴적인무기입니다.​​방어력저하속시급한필요이번배치는우크라이나의방공요격률이급격히감소함에따라이루어졌습니다.2025년10월,우크라이나군은들어오는드론의80%를요격했으며,이는연초의거의100%에서감소한수치입니다.지난달에만1,200대이상의러시아미사일과드론이우크라이나방어망을뚫고들어왔으며,이는2월의수치보다거의두배에달합니다.​러시아는최근샤헤드드론과활공폭탄모두에제트엔진을장착하여업그레이드했으며,이를통해더빠르게이동하고전선후방최대200킬로미터까지목표물을타격할수있게되었습니다.이러한개조는우크라이나의전통적인방공시스템에부담을주었으며,비용효율적인요격솔루션의중요성이점점더커지고있습니다.
1446
0
2025.11.13
d-Matrix, AI 칩 개발로 20억 달러 가치 평가에 2억 7,500만 달러 투자 유치
d-Matrix, AI 칩 개발로 20억 달러 가치 평가에 2억 7,500만 달러…
(퍼플렉시티가정리한기사)AI칩스타트업d-Matrix는시리즈C펀딩에서20억달러밸류에이션으로2억7,500만달러를확보하여,업계가훈련에서대규모대형언어모델배포로초점을전환함에따라AI추론워크로드를구동하는경쟁에서떠오르는도전자로산타클라라기반회사를자리매김했습니다.​11월12일에발표된이초과청약된라운드는BullhoundCapital,TriatomicCapital,Temasek이공동주도했으며,QatarInvestmentAuthority와싱가포르의EDBI가새롭게참여했습니다.의M12벤처펀드와기존투자자인NautilusVenturePartners,IndustryVentures,MiraeAsset도이번라운드에합류하여,d-Matrix의2019년설립이후총펀딩규모를4억5,000만달러로끌어올렸습니다.​AI의다음병목현상타겟팅SidSheth와SudeepBhoja가설립한d-Matrix는일찍이역발상테제에투자했습니다:경쟁사들이AI훈련칩에집중하는동안,진짜도전은기업들이훈련된모델을대규모로연속적으로실행하려고할때올것이라는것이었습니다."우리는훈련된모델이대규모로연속적으로실행되어야할때인프라가준비되지않을것이라고예측했습니다"라고Sheth는성명에서밝혔습니다.​2024년11월에출시된이회사의Corsair가속기는연산과메모리를통합하는DigitalIn-MemoryCompute아키텍처를사용하여d-Matrix가주장하는바에따르면GPU기반시스템보다10배빠른성능,3배낮은비용,최대5배더나은에너지효율성을제공합니다.이플랫폼은Llama70B모델에서토큰당2밀리초로초당최대30,000개의토큰을생성할수있습니다.​시장모멘텀이번자금조달은AI추론시장이급속도로확장되는가운데이루어졌습니다.이분야는생성형AI와대규모언어모델의광범위한배포에힘입어2025년약1,060억달러에서2030년까지2,550억달러로성장할것으로예상됩니다.TriatomicCapital의제너럴파트너인JeffHuber는"AI추론이프로덕션AI시스템에서지배적인비용요소가되고있습니다"라고말했습니다.​d-Matrix는이제추론칩시장에서Nvidia와같은기존업체들과Cerebras,Groq,SambaNova를포함한신흥전문기업들과경쟁하고있습니다.이회사는SantaClara,Toronto,Sydney,Bangalore,Belgrade에있는사무소에서250명이상의직원을고용하고있습니다.​새로운자본은글로벌확장,3D메모리스태킹혁신을포함한회사의제품로드맵추진,그리고하이퍼스케일,엔터프라이즈및주권고객을위한대규모배포지원에사용될예정입니다.MorganStanley는이번거래의독점배치대행사로활동했습니다.
1573
0
2025.11.13
Valve, 2026년에 VR 헤드셋, 콘솔 및 컨트롤러 출시 예정
Valve, 2026년에 VR 헤드셋, 콘솔 및 컨트롤러 출시 예정
(퍼플렉시티가정리한기사)Valve는2025년11월11일부터12일까지세가지새로운게임제품을발표하며,이는SteamDeck이후회사의가장야심찬하드웨어진출로평가받고있습니다.SteamFrame독립형VR헤드셋,SteamMachine거실용콘솔,그리고새롭게디자인된SteamController모두SteamOS로구동되며,2026년초에출시될예정입니다.다만,회사는아직가격이나구체적인출시날짜는공개하지않았습니다.​이번발표는Valve가성공적인SteamDeck을넘어하드웨어생태계를확장하려는가운데이루어진것으로,SteamOS기반기기에대한소비자의수요를보여주었습니다.스팀프레임,PC스트리밍으로무선VR제공스팀프레임은밸브가밸브인덱스이후6년만에VR로복귀한것을의미합니다.이무선헤드셋은듀얼2,160x2,160LCD디스플레이,팬케이크렌즈,최대110도의시야각을제공합니다.퀄컴의스냅드래곤8Gen3프로세서와16GBRAM으로구동되며,배터리스트랩을포함해기기무게는435g입니다.​유선인덱스와달리,스팀프레임은독립형으로작동하거나포함된Wi-Fi6E동글을통해PC게임을무선으로스트리밍할수있습니다.헤드셋에는아웃-포커스트래킹을위한바깥쪽네개의카메라,포비에이티드스트리밍을위한시선추적,그리고모노크롬패스스루기능이포함되어있습니다.확장포트는향후업그레이드를지원하며,추후에는풀컬러패스스루카메라등도탑재될수있습니다.​밸브는스팀프레임의가격이$1,000인덱스키트보다낮을것으로예상하고있지만,가격은아직결정되지않았습니다.​스팀머신,거실게임을겨냥하다SteamMachine은6코어AMDZen4CPU와세미커스텀28컴퓨트유닛RDNA3GPU를6.39x6.14x5.98인치큐브에탑재하고있습니다.16GBDDR5RAM과8GBGDDR6VRAM을갖춘이시스템은Valve에따르면SteamDeck성능의6배를제공하며AMD의FSR업스케일링을사용하여60fps로4K게이밍을지원합니다.​이콘솔은DisplayPort1.4,HDMI2.0,이더넷및USB포트를갖추고있으며,3D프린팅커스터마이징을위해설계된마그네틱전면패널이있습니다.내장안테나는최대4개의SteamController를동시에지원합니다.​새로운컨트롤러가기존제품의단점을해결하다새롭게디자인된스팀컨트롤러는스팀덱에서성공적으로사용된트랙패드를유지하면서두번째엄지스틱을추가했습니다.엄지스틱에는터널자기저항(TMR)기술이적용되어스틱드리프트를방지하도록설계되었습니다.이컨트롤러는자이로작동을위한정전식그립감지기능,네개의지정가능한그립버튼,그리고35시간이상의배터리수명을제공합니다.​자사VR게임계획없음하드웨어출시에도불구하고,Valve는SteamFrame출시시점이나그이후에자사개발VR게임이개발중이지않음을확인했습니다.이는Index출시직후2020년에Half-Life:Alyx를출시했던회사의이전행보와대조적입니다.​세가지제품모두현재SteamDeck이출시되는지역에서구매가능하며,여기에는미국,캐나다,영국,독일,프랑스,호주,일본,대한민국,대만,홍콩이포함됩니다.
1456
0
2025.11.13
AI는 브레인스토밍을 돕지만 인간의 참여 없이는 부족하다
AI는 브레인스토밍을 돕지만 인간의 참여 없이는 부족하다
(퍼플렉시티가정리한기사)월요일에발표된동료검토연구에따르면,생성형AI도구가조직의의사결정목표브레인스토밍에도움을줄수있지만인간의개입없이는불완전하고중복된결과를생성하며,이는복잡한분석작업에서AI의한계를강조한다.​AmericanUniversity의JaySimon과ManagementCenterInnsbruck의JohannesUlrichSiebert연구진은GPT-4o,Claude3.7,Gemini2.5,Grok-2가생성한목표세트를이전에발표된6개연구의전문의사결정분석가들이개발한것과비교했다.DecisionAnalysis저널에발표된연구결과는AI가개별적으로합리적인목표를자주생성했지만,전체적으로는완전성과일관성이부족했다고밝혔다.​"AI는무엇이중요할수있는지나열할수있지만,무엇이진정으로중요한지구별하는것은아직할수없다"고저자들은썼다.각AI생성세트는완전성,분해가능성,중복성을포함한가치중심사고의9가지기준으로평가되었다.이도구들은명시적으로피하라는지시에도불구하고"수단목표"를자주포함했다.​전문가검증필요가치중심사고의개척자인랄프키니(RalphKeeney)는AI가만든목록에대해"두목록모두대부분의개인이만들수있는것보다낫지만,"근본적인목표만을포함하지않는한어떤것도양질의의사결정분석에사용해서는안된다고언급했습니다.​연구진은결과개선을위해고급프롬프트전략을테스트했습니다.연쇄적사고(chain-of-thoughtreasoning)와전문가의비평-수정(critique-and-revise)방법을결합하자,AI의출력이상당히향상되어더욱집중적이고논리적으로구조화된목표집합이생성되었습니다.​"생성형AI는여러기준에서좋은성과를보입니다."라고사이먼(Simon)은말했습니다."하지만여전히일관성있고중복되지않는목표집합을생산하는데어려움을겪고있습니다.인간의사결정분석가가AI가산출하는결과를정제하고검증하는데필수적입니다".​AI협업에대한더광범위한시사점이연구는창의적이고분석적인작업에서AI의한계에대한증가하는증거와일치합니다.Wharton의11월연구에따르면ChatGPT가개별아이디어의질을향상시켰지만,그룹이더유사한아이디어를생성하도록하여혁신에필수적인다양성을감소시켰습니다.StanfordGraduateSchoolofBusiness의연구자들은또한인간의사결정자를염두에두고설계된알고리즘이순수하게예측적인시스템보다더나은성과를보인다는것을입증했습니다.​이연구는목표가필수적이고,분해가능하며,완전하도록보장하기위해AI브레인스토밍과전문가개선을통합한4단계하이브리드모델로결론을내립니다."우리의연구결과는GenAI가전문가의판단을대체하는것이아니라보강해야한다는것을분명히합니다"라고Siebert는말했습니다."인간과AI가함께작업할때,그들은더나은의사결정을위해서로의강점을활용할수있습니다".
1593
0
2025.11.13
회원가입
아이디/비밀번호 찾기