알려진 바에 따르면, 현재 유럽연합의 어떤 기관도 Project Glasswing을 통해 가장 진보된 사이버 보안 AI 모델에 운영 접근을 보유하고 있지 않습니다. 그러나 영국은행, 연방준비은행, 미국 재무부는 브리핑을 받았습니다. Anthropic은 2026년 4월 7일에 Claude Mythos Preview를 발표했으며, 이는 공개 배포 대신 사이버 보안 이유로 명시적으로 선택된 최초의 프론티어 모델입니다. 이 모델은 자율적으로 제로데이 취약점을 발견하고 활용합니다: ExploitBench(카네기 멜론/버그크라우드, 2026년 5월) 벤치마크에서, 41개의 테스트된 CVE 중 21개에서 임의 코드 실행을 달성했으며, 다른 공개 모델은 단 하나도 성공하지 못했습니다. 접근은 약 40개 조직으로 구성된 Project Glasswing에 제한되며, AWS, Apple, Cisco, CrowdStrike, Google, JPMorgan Chase, Microsoft, NVIDIA, Palo Alto Networks, Broadcom, Linux Foundation 및 Anthropic이 주도합니다. 유럽 기관은 동일한 날짜에 접근 권한이 없으며, 유럽중앙은행은 위험을 인지시키기 위해 유로존 은행들을 소집했지만, 이에 상응하는 브리핑은 없었습니다. 2026년 5월 27일 Les Echos가 보도한 바와 같이, Sia Partners의 독점 연구는 모델의 악의적 확산 시나리오에서 100 대 1의 공격적 이점을 제시합니다. 이 문서는 이에 대해 다룹니다.
측정 가능하지만 비용이 드는 기술적 특이점
Mythos의 능력 차이는 독립 벤치마크에서 먼저 나타납니다. ExploitBench에서의 전체 테스트 실행 비용은 약 36,428달러로, Codex를 통한 GPT-5.5의 3,075달러보다 약 12배 비쌉니다. 이 높은 비용은 Mythos를 기회주의적 행위자가 접근하기 어렵게 하지만, 능력 차이는 문서화되어 있습니다: 공개적으로 배포된 여덟 개 모델 중 GPT-5.5만이 보안 샌드박스를 통과하고 WebAssembly 버그 하나에서 제어 흐름 전환을 달성했습니다. 영국 AI Security Institute의 레드 팀은 지속적인 가속을 관찰하고 있습니다: 2025년 11월에 8개월마다 사이버 능력이 두 배로 증가한다고 추정했으며, 2026년 2월에는 4.7개월로 수정했으며, Mythos와 GPT-5.5는 이제 이 가속 궤적을 능가합니다. Mythos는 AISI의 두 개의 사이버 범위를 완료한 첫 모델입니다: 기업 네트워크에서 32단계 공격 시뮬레이션에서 10번 시도 중 6번 성공, 인간 전문가가 해결하는 데 약 20시간 걸릴 과제를 해결했으며, 산업 시뮬레이션 'Cooling Tower'에서는 10번 중 3번 성공했습니다. 이러한 수치에 Anthropic은 주요 운영 체제 및 브라우저에서 수천 개의 제로데이를 자율적으로 발견했으며, 공개 당시 99% 이상이 패치되지 않았다고 덧붙였습니다 - 이 내부 수치는 244페이지의 시스템 카드에 기록되어 있으며, 유럽 제3자가 감사할 수 없는 범위로 남아 있습니다.
이미 좁은 격차: 오픈-웨이트가 격차의 큰 부분을 채웁니다
Mythos의 특이점은 그 전략적 중요성을 상대화하는 병행 운동을 숨깁니다. 2026년 5월에 arXiv에 게재된 문서는 Qwen3.6-27B가 단일 A100 카드에서 33%의 자율 복제 성공률을 달성했으며, 이는 현재 세대 GPT-5.4와 동등하며 이전 세대 프론티어를 초과한다고 보여줍니다. Opus 4는 6%에 머물렀고 GPT-5는 0%에 그쳤습니다. 이 모델은 클라우드 공급자를 통해 시간당 1~2달러에 A100에서 운영되며, Epoch AI가 RTX 5090 시대를 위한 기준으로 설정한 40억 개의 파라미터 내에 들어갑니다 - 따라서 일반 소비자 하드웨어로도 가능합니다. CISO 측에서도 동일한 반응이 확인되었습니다: 스위스 컨설팅 회사 InfoGuard의 분석에 따르면, AISLE 전문 조직의 연구를 인용하여 테스트된 여덟 개의 오픈-웨이트 모델이 Mythos의 우월성의 증거로 제시된 FreeBSD 익스플로잇을 재현합니다. 그 중 하나는 약 0.11달러로 3.6억 개의 활성 파라미터를 사용합니다. 잔여 능력 격차는 좁은 범위에 집중됩니다: 실제 CVEs에서 임의 코드 실행은 요구가 많습니다. Sia Partners가 제시한 100 대 1의 이점은 이 차이에 기반하며, Les Echos에 의해 공개되었습니다 - 이는 악의적인 손에 Mythos가 넘어갔을 때와 거의 방어가 없는 상황을 가정합니다. 영국 AISI도 이를 '세계 최악의 골키퍼 앞에서의 공격자'로 묘사합니다 (자유 번역). Sia Partners는 또한 동일한 결론에 따라 사이버 위협을 아홉 가지 운영 축으로 매핑하는 CISO/IT 관리자 플레이북을 상업적으로 판매하고 있으며, 이는 Les Echos의 기사에서 언급되지 않은 이해 상충입니다.
Glasswing: 미국 범위, 비대칭 경고
이미 명명된 열두 창립자 외에도, 이 연합은 InfoGuard에 따르면 JPMorgan Chase, Goldman Sachs 및 일부 클라우드 및 OS 공급업체와 같은 회사들을 방어적 사용을 위해 선택적으로 포함합니다. 나머지 경제는 접근할 수 없습니다. 경고 순서는 이 범위를 반영합니다: Anthropic은 연방준비은행, 미국 재무부, 사이버 보안 및 인프라 보안국, 영국은행에 브리핑을 하였고, 재무장관 Scott Bessent와 연방준비은행 의장 Jerome Powell은 주요 은행 CEO들과 모델의 구체적인 위협을 지적하기 위한 긴급 회의를 개최했습니다. 유로존에서는 유럽중앙은행이 위험에 대해 인지시키기 위해 유로존 은행들을 소집했지만, Anthropic이 영국은행에 제공한 것과 동등한 브리핑은 없었습니다. 2026년 4월 28일 프레스 브리핑에서, 유럽연합 집행위원회 대변인 Thomas Regnier는 유럽 기관이 여전히 Project Glasswing에 접근할 수 없다고 확인하며, '사이버 보안 문제는 여전히 해결되어야 한다'고, 회사는 '선의로 대화 중'이라고 밝혔지만, 일정에 대해서는 언급하지 않았습니다. 2026년 5월 29일 기준으로, ANSSI와 ENISA는 Mythos에 대한 공식 입장이나 이 접근을 해제할 수 있는 평가 절차에 대한 입장을 발표하지 않았습니다 - 이는 문서화 가능한 침묵으로, 미국과 영국의 제도적 동원과 대조됩니다.
'100 대 1'은 두 가지 조건을 수반합니다
Sia Partners가 제시한 비대칭은 조건부입니다: 이는 악의적인 행위자가 Mythos에 접근하고 오늘날 약 40개 조직으로 제한된 Project Glasswing의 방어가 거의 없다면이라는 가정을 포함합니다. 73%의 해킹 전문가 과제 성공률을 검증한 영국 AISI는 Mythos가 '거의 존재하지 않는 방어에 대해 평가되었다'고 명시하고 있으며, 한 평가자는 '세계 최악의 골키퍼 앞에 있는 공격자'로 묘사합니다. 적절히 강화된 생산 환경에서는 상황이 다릅니다. 또한, Sia Partners는 동일한 결론에 기반한 CISO/IT 관리자 플레이북을 상업적으로 판매하고 있으며, 이는 Les Echos 기사에서 언급되지 않은 이해 상충입니다.
기관 간 격차: 사전 배치 대 법적 의무
Mythos에 대한 접근 차이는 더 깊은 기관 간 격차를 연장하며, 이는 프론티어 모델 통제의 문법에서 읽을 수 있습니다. 영국 AI Security Institute는 사전 배치 레드 팀을 운영하며, 약 250명의 인력과 Anthropic, Google DeepMind, OpenAI와의 공식 파트너십을 통해 더 넓은 배포 전에 모델 스냅샷을 직접 평가합니다. 기술 책임자 Jade Leung은 2026년 4월 22일 ResultSense에서 '테스트된 모든 시스템에서 취약점을 발견했다'고 주장합니다 (자유 번역). 유럽연합은 스펙트럼의 다른 끝을 차지하고 있습니다: 같은 출처에 따르면, 유럽연합은 내부 레드 팀 능력보다는 AI Act 및 금융 부문의 DORA를 통해 개발자를 위한 법적 의무를 우선시했습니다 (자유 번역). 프랑스는 2025년 INESIA의 출범으로 평가 주권의 첫 번째 이정표를 설정했지만, AISI의 범위에 비할 수 없습니다. 이 불균형은 모든 당파의 유럽 의원들이 Henna Virkkunen, 위원회 부사장에게 Project Glasswing에 대한 유럽의 참여와 제로 신뢰 아키텍처의 가속화를 요구하는 편지를 쓰게 했습니다. 2026년 4월 27일에 작성된 이 편지는 유럽의 법적 틀에 대한 운영 인프라 요구를 대조하며, 이는 분야별 자원 기반에 부딪힙니다. ENISA에 따르면, 2024년 EU 내 사이버 보안 전문가 부족은 299,000명에 달했으며, 이는 2023년 대비 9% 증가한 수치이며, NIS 범위 내 사이버 보안의 중간 예산은 150만 유로입니다 - 이는 카네기 멜론/버그크라우드가 발표한 ExploitBench 실행 비용을 기준으로 약 40회 Mythos에서의 ExploitBench 실행과 동일합니다.