Building an AI-Based Vulnerability Detection WorkflowIn May 2026, I gave a talk at OWASP Seoul on building an AI-based vulnerability detection workflow. The talk was about how I built and ran the workflow for about half a year, and where I found its limits.It Started With One Question: Can AI Find Real 0-Days?At first, I was skeptical. Finding a vendor-accepted 0-day in a real, actively maintain..

2026년 5월 OWASP Seoul에서 AI기반 취약점 탐지 워크플로우 구축기를 주제로 발표했다. 반년 동안 직접 만들고 돌리면서 워크플로우를 어떻게 구성했는지, 그리고 한계가 어디였는지를 담은 내용이다.시작은 "진짜 0-day를 찾을 수 있을까"였다처음에는 반신반의했다. 실제 운영 중인 오픈소스에서 벤더가 인정할 만한 0-day를 AI로 찾을 수 있을지는 전혀 다른 문제라고 생각했다.그런데 지난 1년의 흐름을 보면 분위기가 확실히 달라지고 있었다. MCP가 나오면서 모델이 외부 도구를 호출하는 방식이 정리되기 시작했고, XBOW 같은 AI 펜테스터가 버그바운티 플랫폼에서 눈에 띄는 성과를 냈다. AIxCC처럼 AI가 취약점을 찾고 패치까지 만드는 대회도 열렸고, Claude Code, Cursor, ..

올해 AI for Security와 보안 관련해서 직접 공부하고 경험해보고 싶은 것들을 정리해봤다. 2026년 목표는 크게 4가지다.1. 남아있는 오픈소스 버그바운티 보고서 분석작년부터 자체적으로 구축해온 AI 기반 취약점 탐지 워크플로우로 꽤 많은 오픈소스 프로젝트에서 유의미한 취약점들을 찾아왔다. 근데 문제가 하나 있다. AI가 취약점을 찾는 속도가 직접 재현해서 보고서를 쓰는 속도보다 압도적으로 빠르다는 것.덕분에 지금 분석도 못 한 취약점이 수백 개 쌓여 있는 상태다. 올해 상반기는 이 백로그를 하나씩 털어내는 게 최우선 목표다.2. 오픈소스 취약점 탐색에서 모바일 앱으로 확장지금까지는 소스코드가 전부 공개된 화이트박스 오픈소스 환경에 집중해왔다. 근데 이 분야는 이미 많은 연구자들이 뛰어들고 있..