AI로 zkVM 취약점 탐지: OpenVM 코드에서 보안 버그 발견 사례
AI 에이전트를 활용해 오픈소스 라이브러리에서 실제 취약점(CVE-2026-46669)을 찾아낸 구체적인 AI 감사 사례.
요약
AI 감사 도구인 zkao가 OpenVM의 zkVM 게스트 라이브러리인 'openvm-pairing'에서 치명적인 무결성 버그를 발견하여 CVE-2026-46669로 등록되었습니다. 해당 취약점은 증명 시스템 자체의 문제는 아니지만, 취약한 라이브러리를 사용하는 코드에서 악의적인 증명자가 페어링 평등성을 위조할 수 있는 심각한 위험을 내포하고 있습니다. 이 버그는 OpenVM 1.6.0 버전에서 수정 완료되었으며, 현재 모든 파트너사가 업데이트를 마친 상태입니다. 연구팀은 Opus 4.6, 4.7 및 Codex 5.3, 5.4 모델을 활용해 스캔을 진행했으며, zkao가 생성한 상세 보고서와 최소화된 PoC를 바탕으로 인간 연구원이 취약점을 검증하고 공개 과정을 처리했습니다. 이번 사례는 AI가 도출한 후보 탐지 결과를 인간이 검증하여 실제 보안 위협을 해결하는 AI 보안 감사 파이프라인의 효용성을 입증했습니다.
AI가 원문을 요약한 내용으로, 부정확할 수 있습니다.
원문 제목 AI Meets Cryptography 2: What AI Found in OpenVM's ZkVM
원문 보기 ↗