Mythos가 Firefox 271개 찾았다? — 어드바이저리는 3개라고 말한다

Mythos Firefox 271 vs CVE 3 — Mozilla 블로그와 보안 어드바이저리 비교 썸네일

같은 달, 같은 Mozilla — 두 문서 숫자가 90배 다르다

“Mythos가 Firefox에서 취약점 271개를 찾아 고쳤다”는 Mozilla 공식 블로그 문장과, “Firefox 150 보안 어드바이저리에 CVE 40개, 그중 Anthropic 크레딧은 3개”라는 같은 Mozilla의 공식 집계가 같은 4월에 나왔다. 둘 다 공개돼 있다.

271을 먼저 들으면 놀랍다. 같은 릴리즈 어드바이저리의 CVE 40개는 이상하다. 그 40개 중 Anthropic 크레딧 3개라는 사실은 두 문서가 서로 다른 것을 세고 있다는 감을 준다. 세 문장 전부 Mozilla가 직접 올린 공식 자료다.

이 글은 AI 보안 리포트를 읽는 독자를 위해, 왜 숫자가 벌어지는지를 공식 자료만으로 대조하고 제시된 설명 가설을 짚는다.

층 1 — Mozilla 블로그의 271이라는 숫자

Mozilla는 2026년 4월 공식 블로그 “The zero-days are numbered”(blog.mozilla.org/en/privacy-security/ai-security-zero-day-vulnerabilities/)에서 Firefox 150이 Claude Mythos Preview로 평가한 뒤 271개 취약점을 수정했다고 적었다.

같은 달 Anthropic이 red.anthropic.com/2026/mythos-preview/에 올린 Mythos 공식 소개는 능력 수치를 제공한다. Firefox 147 JavaScript 엔진 테스트에서, 이전 모델 Opus 4.6은 수백 시도 중 실제 익스플로잇을 2번 만들었다. Mythos는 같은 조건에서 181번, 레지스터 제어(익스플로잇이 실제 실행 제어권을 잡는 단계)까지 간 경우가 29번이었다.

능력 자체는 공식 측정으로 실재한다. 이 수치가 뒤에 있으니 Mozilla의 “271 발견”이 단독으로 나왔을 때 독자 입장에서 반박할 근거가 없어 보인다.

층 2 — 보안 어드바이저리의 40과 3, 그리고 2월의 정합

Firefox 150의 공식 보안 어드바이저리는 같은 릴리즈 창에 40개 CVE(공식 취약점 식별 번호)를 공개했다. 그중 Anthropic 또는 Claude 크레딧이 붙은 건 3개다. 블로그의 271과 어드바이저리의 3 사이에 90배 가까운 격차다.

바로 두 달 전 Firefox 148 라운드에서는 어드바이저리 51 CVE, 블로그 22 Anthropic 크레딧으로 숫자가 맞았다. Mozilla가 두 문서에 같은 단위를 썼다는 뜻이다. 그런데 바로 다음 라운드에서 블로그만 271로 뛰었고 어드바이저리는 기준을 유지했다.

The Register는 4월 22일 “Mythos found 271 Firefox flaws – but none a human couldn’t spot”(theregister.com)로 기사를 냈고, flyingpenguin은 같은 격차를 “22 vulns became 271 or maybe 3”(flyingpenguin.com)로 짚었다. 확인한 범위에서는 한국어 매체에 이 격차를 다룬 기사가 아직 없다.

층 3 — 숫자가 다른 이유는 추측이다

flyingpenguin은 정적 분석 도구의 일반적 행태 가설을 제시했다. 같은 버그 패턴이 여러 파일에서 반복 나타나면 도구는 인스턴스를 따로 센다. 한 취약 패턴이 90개 모듈에 있으면 스캔 결과는 “90개”지만 CVE는 1개로 집계된다. 블로그가 인스턴스를, 어드바이저리가 CVE를 센 것일 수 있다.

이 가설이 맞다면 Mozilla는 악의가 아니다. 다만 가설이다. Mozilla도 Anthropic도 “다른 단위를 썼다”고 공식 설명하지 않았다. 2차 출처 한 곳이 제시한 가능성일 뿐 확인된 게 아니다.

더 중요한 건 정합성이다. 단위를 바꿨다면 그 변경을 블로그에 병기할 책임이 Mozilla에 있다.

세 숫자를 따로 기억하자

공식 자료만으로 확인 가능한 건 세 가지다.

  • 능력: Firefox 147 테스트에서 181 exploit · 29 register control
  • 발견: Firefox 150 블로그 271, 단위 불명
  • 등록: Firefox 150 어드바이저리 40 CVE, Anthropic 크레딧 3

대화 중 어떤 숫자가 나오는지가 AI 보안 도구의 평가를 완전히 바꾼다.

Mozilla가 두 달 전에는 맞췄다는 사실이 이 글의 결론 근거다. 그 전에 맞출 수 있었다면 지금 벌어진 건 단위 변경이거나 측정 방식 혼선이다. 어느 쪽이든 블로그 본문에 주석이 있어야 했다.

당장 할 수 있는 일은 간단하다. “Mythos가 X개 찾았다”는 문장을 볼 때 X가 인스턴스인지 CVE인지 먼저 묻는다.

다음 라운드 Firefox 151(6월 초 예정)이 나올 때 두 문서 숫자가 다시 맞는지, 또는 Mozilla가 단위를 명시하는지 관찰한다. 후속은 이 블로그에 다시 올린다.

이 블로그의 의심 프레임 시리즈(“엔드포인트 죽음”, “Kimi 판정 보류”)에 이은 세 번째 기록이다.

관련 글

태그: #Mythos #Anthropic #Firefox #Mozilla #AI보안 #CVE #ProjectGlasswing

댓글

댓글 쓰기

이 블로그의 인기 게시물

결론: Claude Opus 4.7은 "전부 업그레이드"가 아니다. 에이전트 작업에선 4.6보다 확실히 강해졌지만, 일상 코딩은 Sonnet이 여전히 3~5배 싸다. 2026-04-16 출시 후 Claude Code에서 반나절 써본 결과 3가지 체감 변화와 Qwen 3.6과의 비교까지 정리한다. Opus 4.7 핵심 변화 3가지 4.6과 비교해 체감되는 지점은 세 곳이다. 1. 에이전트 작업 체류 시간이 길어졌다 단일 지시로 파일 여러 개를 연쇄 수정할 때 중간에 “다음 단계 확인해 드릴까요?” 같은 끊김이 줄었다. 4.6은 5~6 step에서 한 번씩 끊겼는데, 4.7은 10 step 이상을 한 번에 간다. 긴 리팩터링 작업에서 체감이 크다. 2. 코딩 벤치마크 점수 상승 Anthropic 공식 블로그의 차트 기준으로 SWE-bench Verified, Terminal-bench 모두 4.6보다 올랐다. 다만 이게 실사용 속도까지 보장하지는 않는다. 3. 반론에 더 단단해졌다 4.6은 “내 말이 맞다”고 밀면 바로 물러서는 경향이 있었다. 4.7은 근거를 다시 제시한다. 디버깅 대화에서 사람이 틀린 가정을 고집할 때 이 특성이 오히려 시간을 아낀다. Qwen 3.6-35B가 Opus 4.7을 이긴다고? 같은 날 Alibaba가 Qwen 3.6-35B-A3B(오픈소스)를 공개했다. Simon Willison이 자기 노트북에서 Qwen 3.6이 Opus 4.7보다 “더 나은 펠리컨 그림을 그렸다”는 글을 올려 HN 상위에 갔다. 이 결과를 어떻게 봐야 할까. 일부 작업에서는 오픈소스가 이긴다 — 이미지 생성, 특정 추론 과제 복잡한 에이전트·장문 코딩은 Opus 4.7이 여전히 우세 비용 관점 에서 오픈소스가 매력적이지만, API 없이 로컬 돌리려면 GPU 비용이 따로 든다 즉 “Opus 4.7 vs Qwen 3.6”은 “어느 게 ...
자세한 내용 보기
Claude Code로 블로그 자동 발행 스크립트를 만드는 방법이다. 마크다운 파일을 터미널에서 명령어 한 줄로 Blogspot에 발행한다. Google Cloud Console 설정 10분, Claude Code에 지시 20분, 테스트 5분이면 끝난다. 코드를 직접 쓰지 않고 Claude Code에게 지시만 해서 만들었다. Claude Code가 뭔가 터미널에서 “블로그 발행 자동화해줘”라고 치면 스크립트를 만들어주는 AI 코딩 도구다. Anthropic이 만들었다. IDE 플러그인이 아니라 독립 CLI 도구다. 프로젝트 폴더 전체를 읽고, 파일을 직접 생성하고 수정하고 실행까지 한다. 블로그 글 1편 올리는 데 15분이 걸렸다 Blogspot에 글을 올리려면 마크다운 → HTML 변환 → Blogger 접속 → 제목 입력 → HTML 모드 전환 → 본문 붙여넣기 → 라벨 설정 → 검색 설명 → 미리보기 → 발행. 1편에 15분. 한 달에 30편이면 7시간 이상을 “올리는 작업”에만 쓰는 셈이다. 글 쓰는 시간보다 올리는 시간이 더 길었다. 이걸 Claude Code에게 맡겼다. Claude Code에게 한 지시 터미널에서 Claude Code를 열고 이렇게 말했다: “마크다운 파일을 Blogger API v3으로 자동 발행하는 Python 스크립트를 만들어줘. frontmatter에서 제목, 라벨, 슬러그를 읽고, 마크다운을 HTML로 변환한 뒤, OAuth 2.0으로 인증해서 Blogger에 POST해줘. dry-run 옵션도 넣어줘.” Claude Code가 만든 것: publish.py 메인 스크립트 (약 200줄) requirements.txt 의존성 목록 config.json 설정 파일 OAuth(구글 로그인 인증) 흐름 (최초 1회 브라우저 인증 → 이후 자동) dry-run 모드 (발행 없이 HTML 미리보기) ...
자세한 내용 보기
이미지
“AI 코딩 도구를 써보고 싶은데 설치부터 막힌다” — 이 문장에 해당된다면 10분만 투자하라. Claude Code 설치는 딱 3단계다. Node.js 설치, Claude Code 설치, 첫 실행. 나도 처음엔 터미널을 열어본 적 없는 상태에서 시작했다. 8년 차 개발자였지만 해고 후 새로 시작하는 마음으로, 비개발자 관점에서 각 단계를 스크린샷 수준으로 정리한다. Claude Code가 뭔가 — 30초 요약 Claude Code는 터미널에서 실행되는 AI 코딩 도구다. 핵심은 이거다: 한국어로 “이런 거 만들어줘”라고 말하면 코드를 작성하고 파일을 만들고 실행까지 한다. 운전면허로 비유하면: 엔진 구조를 몰라도 운전은 할 수 있다. Claude Code도 프로그래밍 언어를 몰라도 “한국어로 말하면 컴퓨터가 움직인다”만 알면 된다. 설치 전 준비물 항목 필요 여부 비고 컴퓨터 (Mac/Windows/Linux) 필수 모두 지원 인터넷 연결 필수 Claude 계정 필수 claude.ai에서 가입 Claude Pro 구독 ($20/월) 권장 무료는 사용량 제한 Node.js 18 이상 필수 아래에서 설치 코딩 경험 불필요 1단계: Node.js 설치 (3분) Claude Code는 Node.js 위에서 돌아간다. Node.js는 JavaScript를 실행하는 프로그램인데, 이걸 이해할 필요는 없다. 그냥 설치만 하면 된다. Mac 터미널을 연다 (Spotlight에서 “터미널” 검색). 아래 명령어를 복사해서 붙여넣고 Enter. brew는 Mac용 프로그램 설치 도구다. 앱스토어의 터미널 버전이라고 생각하면 된다. brew install node brew가 없다면 먼저 이걸 실행 (brew 자체를 설치하는 명령어): /bin/bash -c "$(curl...
자세한 내용 보기