LLM 멀티 에이전트 워크플로우로 오픈소스 제로데이를 찾은 후기

LLM의 문맥 이해 능력이 크게 발휘될 수 있는 대형 웹 오픈소스(Nextcloud, Matomo, Grafana 등)를 타겟

결과적으로 사람이 수만 줄의 라우팅 코드와 권한 엔진을 대조하다 집중력이 흐려져 놓치기 쉬운 미세한 논리적 공백을 AI가 짚어내는 데 성공했습니다.
대표적으로 Grafana 대시보드 권한 관리 API에서 내부 권한 검증 시 스코프(Scope) 인자를 누락하는 허점을 AI가 발견하여, 다른 대시보드의 제어권을 탈취할 수 있는 심각한 권한 상승 취약점(CVE-2026-21721, CVSS 8.1)을 제보했습니다.
이 외에도 Nextcloud(XSS, 인증 우회), Protobuf(DoS), Airflow 및 Discourse 등에서 다수의 제로데이(CVE)와 바운티를 획득했습니다.
향후 단순 취약점 발굴(레드팀) 업무는 AI가 상당 부분 대체할 것으로 보며, 앞으로는 이러한 AI 보안 워크플로우를 직접 설계하는 능력과 비즈니스 상황에 맞춘 블루팀 관점의 방어 전략 수립이 해커에게 더 중요해질 것이라는 인사이트를 공유합니다.

LLM의 문맥 이해 능력이 크게 발휘될 수 있는 대형 웹 오픈소스(Nextcloud, Matomo, Grafana 등)를 타겟

결과적으로 사람이 수만 줄의 라우팅 코드와 권한 엔진을 대조하다 집중력이 흐려져 놓치기 쉬운 미세한 논리적 공백을 AI가 짚어내는 데 성공했습니다.
대표적으로 Grafana 대시보드 권한 관리 API에서 내부 권한 검증 시 스코프(Scope) 인자를 누락하는 허점을 AI가 발견하여, 다른 대시보드의 제어권을 탈취할 수 있는 심각한 권한 상승 취약점(CVE-2026-21721, CVSS 8.1)을 제보했습니다.
이 외에도 Nextcloud(XSS, 인증 우회), Protobuf(DoS), Airflow 및 Discourse 등에서 다수의 제로데이(CVE)와 바운티를 획득했습니다.
향후 단순 취약점 발굴(레드팀) 업무는 AI가 상당 부분 대체할 것으로 보며, 앞으로는 이러한 AI 보안 워크플로우를 직접 설계하는 능력과 비즈니스 상황에 맞춘 블루팀 관점의 방어 전략 수립이 해커에게 더 중요해질 것이라는 인사이트를 공유합니다.