보안 스캐너는 많습니다.
대부분은 코드를 훑고, 위험해 보이는 패턴을 찾고, 긴 목록을 보여준 뒤 이렇게 말합니다.
“취약점일 수도 있습니다. 확인은 개발자가 하세요.”
문제는 그다음입니다.
정말 공격자가 도달할 수 있는 경로인지,
상위 로직에서 이미 검증·정화되고 있는지,
현재 프레임워크 버전에서 실제 익스플로잇 가능성이 있는지,
단순 경고인지, 실제 위험인지.
기존 정적 분석만으로는 여기까지 답하기 어렵습니다.
그래서 치토스는 다르게 움직입니다.
치토스는 VIDRAFT의 전작 미토스(Mythos)를 계승한 자율 보안 AI입니다.
미토스가 코드 패턴, CWE 분류, 리포트 중심의 정적 분석 도구였다면,
치토스는 거기서 한 걸음 더 나아갑니다.
치토스는 취약점을 “의심”하는 데서 멈추지 않습니다.
허가된 대상 안에서 직접 검증하고, 재현 가능성을 확인하고, 공격 경로를 하나의 시나리오로 연결합니다.
<한글 브라우저로 접속하면 자동으로 한글로 입출력이 변경됩니다.>
🔍 1단계 — 정적 스캔
Python, JavaScript, Go, Java, C/C++, Rust, PHP, YAML 등 다양한 언어를 대상으로 보안 패턴을 분석합니다.
인젝션 싱크, 역직렬화 위험, 자격증명 노출, 암호화 오용, 프로토타입 오염, 공급망 위험까지 탐지합니다.
하지만 치토스는 발견했다고 바로 리포트에 올리지 않습니다.
증명되지 않은 경고는 소음입니다.
치토스는 후보를 재검증하고, 실제 위험 가능성이 낮은 항목은 걸러냅니다.
🔬 2단계 — 자율 위협 연구
치토스는 단순히 코드만 보지 않습니다.
CVE 데이터베이스, 익스플로잇 권고문, 공개 PoC 흐름, 관련 보안 문서를 조사해
현재 위협 환경과 연결합니다.
“이 코드가 위험해 보인다”가 아니라,
“이 조건에서 왜 위험한지, 실제 공격 가능성이 어디까지 열려 있는지”를 설명합니다.
이 단계는 Claude API 키가 필요합니다.
하지만 1단계 정적 스캔과 3단계 능동 검증은 무료로 사용할 수 있습니다.
🎯 3단계 — 능동 익스플로잇 검증
여기서 치토스는 일반 보안 스캐너와 갈라집니다.
허가된 대상에 한해 실제 공격 가능성을 검증합니다.
XSS, SQL 인젝션, 경로 순회, 명령 삽입 등 주요 취약점에 대해
단순 탐지가 아니라 재현 가능한 증거를 찾습니다.
차단되면 변형된 경로를 시도하고,
성공한 취약점은 개별 항목으로 끝내지 않습니다.
치토스는 이를 킬체인으로 연결합니다.
예를 들어 이렇게 설명합니다.
“공격자는 2번 취약점을 통해 인증 우회를 시도할 수 있고,
그 결과 4번 취약점에 접근해 사용자 데이터 노출 위험으로 이어질 수 있습니다.”
보안 리포트가 아니라,
공격자의 이동 경로를 보여주는 위협 지도에 가깝습니다.
<한글 브라우저로 접속하면 자동으로 한글로 입출력이 변경됩니다.>
🧪 바로 테스트 가능한 예제
치토스는 기본적으로 다섯 가지 대표 공격 시나리오를 제공합니다.
Log4Shell
JWT alg:none 우회
SSTI → RCE
프로토타입 오염
공급망 공격
카드 하나를 클릭하면 바로 테스트 흐름을 확인할 수 있습니다.
라이브 검증을 해보고 싶다면
IBM이 보안 도구 테스트용으로 운영하는 의도적으로 취약한 데모 사이트를 사용할 수 있습니다.
합법적인 테스트 환경에서 치토스가 어떻게 취약점을 찾고, 검증하고, 설명하는지 확인해보세요.
<한글 브라우저로 접속하면 자동으로 한글로 입출력이 변경됩니다.>
설치 없습니다.
회원가입 없습니다.
코드는 외부 API로 전송되지 않습니다.
무료로 사용해보세요.
👉 https://chitos.vidraft.net
⚖️ 치토스의 능동 익스플로잇 기능은 반드시 본인이 소유했거나 명시적으로 허가받은 대상에만 사용해야 합니다.
무단 테스트, 무단 스캔, 제3자 서비스 공격은 불법일 수 있으며, 모든 법적 책임은 사용자에게 있습니다.
Top comments (0)