본 발표에서는 LLM 프롬프트 엔지니어링과 코드 분석 자동화를 통해 Python 대표 웹 프레임워크인 Django와 FastAPI(Starlette)에서 유효한 취약점을

발견하고, 실제 CVE(CVE-2025-64458, CVE-2025-64460, CVE-2025-62727)로 등록되기까지의 과정을 공유합니다.

‍

2025년 DEF CON 33과 AIxCC에서 목격한 'AI 기반 취약점 탐지 자동화'의 가능성에 영감을 받아, 이를 Python 오픈소스 생태계에 직접 적용해 보았습니다.

그 결과, 비교적 간단하게 설계된 프롬프트만으로도 LLM이 인간 연구자가 놓칠 수 있는 취약점을 식별할 수 있음을 확인했습니다.

발표에서는 이 과정을 구조 설계 → 프롬프트 엔지니어링 → 소스코드 번들링 전략 → Codex 활용 방식의 순서로 구체적인 소스 코드 예제와 함께 설명합니다.

나아가 단순 탐지를 넘어선 확장된 실험 결과도 함께 공개합니다.

‍

보안 패치와 일반 기능 업데이트가 혼재되어 특정 취약점의 패치 코드를 식별하기 어려운 환경에서, Codex를 활용해 취약점의 Root Cause를 역추적하고

구체화하는 기법을 소개합니다. 또한, 이러한 자동화 프로세스를 기존 발견된 취약점 데이터와 결합하여 SDLC에 통합하는 실험 내용과 그 가능성에 대해서도

다룰 예정입니다. 하지만 AI가 모든 상황에서 정답을 내놓는 것은 아닙니다. 본 세션에서는 실제 연구 과정에서 겪은 현실적인 장벽들 또한 논의합니다.

대량으로 발생하는 False Positive를 효과적으로 필터링하는 노하우, LLM 모델별 구동 비용 대비 실제 효율, 그리고 AI가 해결하지 못해

인간 연구자의 개입이 필수적이었던 순간들을 공유하여 '현실적으로 AI 보안 자동화가 어디까지 가능한가'에 대해 저만의 답을 드리고자 합니다.

‍