앤트로픽, 페이블5 사이버 탈옥 신고 ‘해커원 버그바운티’ 개설

[지디넷코리아]

앤트로픽이 최신 모델 페이블5의 사이버 탈옥을 신고받는 버그바운티를 열었다. 해커원(HackerOne) 플랫폼에서 운영한다. 6월 페이블5를 다시 배포하며 미 정부와 맺은 합의의 일부다.

방식은 이렇다. 검증된 보안 연구자가 페이블5의 사이버보안 분류기를 우회하는 기법을 찾아 신고한다. 성공한 신고에는 금전 보상을 준다. 적대적 공격이 아닌 책임 있는 공개로 처리한다. 신고 범위는 사이버 탈옥으로 한정된다. 시스템 프롬프트 추출 같은 비(非)사이버 문제는 앤트로픽이 이미 자체 공개하고 있어 제외된다.

이 프로그램은 6월 12일 사태에 대한 대응이다. 당시 페이블5의 수출 통제를 부른 아마존발 탈옥은 내부 테스트로 발견됐다. 외부 신고가 아니었다. 공식 신고 창구가 없다 보니 보안 연구 커뮤니티가 찾은 문제를 앤트로픽에 전달할 길이 마땅치 않았다. 버그바운티는 그 통로를 만든 것이다.

앤트로픽은 공동 프레임워크도 마련하고 있다. 아마존·마이크로소프트·구글과 함께 탈옥 심각도를 평가하는 기준이다. 프로젝트 글래스윙이라는 이름이다. 탈옥을 공격 난이도와 피해 규모 두 축으로 점수화한다. 사소한 결함이 과도한 규제로 이어지는 일을 막자는 취지다.

6월 12일 아마존이 찾은 탈옥은 이 기준으로 보면 중간 수준이었다. 그런데도 정부가 이를 위중한 사안으로 다뤘다. 그 결과 19일간 수출이 막혔다. 공유된 심각도 기준이 없었기 때문이다. 버그바운티와 공동 프레임워크는 같은 문제를 다시 겪지 않기 위한 장치다.

버그바운티는 페이블5 재배포 조건의 하나다. 앤트로픽은 페이블5 수출이 막힌 뒤 미 정부와 재배포에 합의했다. 그러면서 여러 안전 장치를 함께 내놨다. 새 탈옥 차단 분류기, 공동 심각도 프레임워크 초안, 그리고 이번 버그바운티다. 회사는 프레임워크 초안에 대한 의견도 버그바운티 참여자에게서 받고 있다.

앤트로픽은 이전에도 모델 안전을 위한 버그바운티를 운영해 왔다. 이번에는 대상을 페이블5의 사이버보안 분류기로 좁혔다. 정부가 가장 민감하게 보는 영역을 집중 점검하겠다는 것이다. 6월 사태로 수출 통제까지 겪은 만큼, 같은 유형의 취약점을 먼저 찾아내는 것이 회사로서는 급선무다.

자세한 내용은 앤트로픽에서 확인할 수 있다.

이미지 출처: 이디오그램 생성

■ 이 기사는 AI 전문 매체 ‘AI 매터스’와 제휴를 통해 제공됩니다. 기사는 클로드 3.5 소네트와 챗GPT를 활용해 작성되었습니다. (☞ 기사 원문 바로가기)

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다