1. PyTorch Lightning 패키지, 공급망 공격으로 보안 침해
PyPI에 등록된 PyTorch Lightning 2.6.2 및 2.6.3 버전이 공급망 공격에 노출되었습니다. 해당 악성 버전에는 모듈 임포트 시 자동으로 실행되는 난독화된 JavaScript 페이로드가 포함되어 있습니다. 이 멀웨어는 자격 증명, 인증 토큰, 클라우드 시크릿을 탈취하며, 쓰기 권한이 있는 토큰을 발견할 경우 GitHub 리포지토리 오염을 시도합니다. 개발자는 환경 내 주입된 파일이 있는지 점검하고 노출 가능성이 있는 모든 자격 증명을 즉시 교체해야 합니다.
2. 보안 연구원들, AI 코딩 에이전트 대상 인증 취약점 공개
Codex, Claude Code, Copilot, Vertex AI 등 주요 AI 코딩 에이전트에 영향을 미치는 인증 취약점 패턴이 공개되었습니다. 이 취약점은 AI 에이전트가 자격 증명을 보유한 상태에서 인간의 세션 연결 없이 운영 시스템에 인증할 때 발생합니다. 공격자는 악성 GitHub 브랜치 이름 등을 정교하게 구성하여 OAuth 토큰을 평문으로 탈취하거나 내부 거부 규칙을 우회할 수 있습니다. 에이전트 기반 워크플로우를 구축하는 개발자는 더 엄격한 세션 검증을 구현하고 에이전트에 영구적인 비연결형 자격 증명을 부여하지 않아야 합니다.
3. Stripe, 자율형 AI 에이전트를 위한 Link 통합 기능 출시
Stripe가 자율형 AI 에이전트가 트랜잭션을 실행할 수 있도록 Link 디지털 지갑을 업데이트했습니다. 사용자는 결제 수단을 연결하고 특정 승인 흐름을 통해 AI 에이전트가 안전하게 결제하도록 권한을 부여할 수 있습니다. 이번 통합으로 카드 정보를 모델에 직접 노출하지 않고도 자동 결제 및 AI 기반 쇼핑이 가능해졌습니다. 개발자는 이를 통해 에이전트 워크플로우를 수익화하고 자율 구매를 처리할 수 있는 표준화된 보안 경로를 확보하게 되었습니다.
4. 알리바바, Qwen3.6 오픈 가중치 모델 제품군 출시
알리바바가 Qwen3.6 27B 및 35B A3B 오픈 가중치 모델을 Apache 2.0 라이선스로 출시했습니다. 두 모델 모두 262K 컨텍스트 창을 지원하며, 네이티브 멀티모달 입력과 하이브리드 사고(hybrid thinking) 아키텍처를 활용합니다. 27B 모델은 높은 추론 성능을 보여주지만, 이전 세대 대비 출력 토큰 소모량이 많고 API 비용이 높습니다. 개발자는 27B 모델 가중치를 단일 H100 GPU에서 네이티브 BF16 정밀도로 실행하거나, 4비트 양자화를 통해 소비자용 하드웨어에서 구동할 수 있습니다.
5. xAI, API 가격 인하된 Grok 4.3 출시
xAI가 에이전트 및 지시 이행 작업 성능이 향상된 Grok 4.3을 출시했습니다. 새 모델은 Grok 4.20 대비 API 비용을 입력 토큰 약 40%, 출력 토큰 약 60% 절감했습니다. 토큰당 가격은 낮아졌으나, 복잡한 추론 평가 시 출력 토큰 사용량은 더 높게 나타나는 특성이 있습니다. 이번 업데이트는 대규모 에이전트 워크플로우에 Grok을 통합하려는 개발자들에게 더 경제적인 옵션을 제공합니다.
6. OpenAI, ChatGPT 및 Codex용 '고급 계정 보안' 출시
OpenAI가 ChatGPT 및 Codex 계정에 대해 엄격한 액세스 제어를 적용하는 선택적 '고급 계정 보안(Advanced Account Security)' 계층을 도입했습니다. 이 기능은 일반 비밀번호와 이메일 복구를 비활성화하며, 물리적 보안 키 또는 패스키를 통한 인증을 요구합니다. 이 모드를 활성화하면 모델 학습에서 계정 데이터가 자동으로 제외되며, OpenAI 지원팀을 통한 계정 복구도 불가능해집니다. 'Trusted Access for Cyber' 프로그램 회원은 6월 1일까지 이 기능을 활성화하거나 대체 기업용 SSO 인증을 제공해야 합니다.
7. Claude Code, 'OpenClaw' 언급 시 제한 및 수수료 부과
Anthropic의 Claude Code 어시스턴트가 사용자 코드나 커밋 메시지에 "OpenClaw"라는 용어가 포함될 경우 요청을 차단하거나 추가 요금을 부과하는 정책을 도입했습니다. 시스템은 실시간 키워드 탐지를 통해 이 제한을 적용하며, 즉각적인 요청 거부를 발생시킵니다. 이 필터에 걸린 개발자들은 처리 시간 증가와 건당 0.05~0.10달러의 추가 수수료를 보고했습니다. 개발자는 예상치 못한 API 비용과 워크플로우 중단을 피하기 위해 코드베이스를 점검해야 합니다.
8. Anthropic, 기업 고객용 'Claude Security' 공개 베타 출시
Anthropic이 Claude Enterprise 사용자를 대상으로 Claude Security를 공개 베타로 출시했습니다. Claude Opus 4.7 모델을 기반으로 하는 이 도구는 보안 팀이 코드베이스의 취약점을 스캔하고 맞춤형 패치를 생성할 수 있게 해줍니다. 이 시스템은 기존의 규칙 기반 정적 분석 도구가 놓치기 쉬운 복잡한 결함을 식별하도록 설계되었습니다. 이를 통해 기업 개발자는 고도화된 보안 스캔 기능을 개발 파이프라인에 직접 통합할 수 있는 네이티브 AI 기반 메커니즘을 갖게 되었습니다.