올해 AI for Security와 보안 관련해서 직접 공부하고 경험해보고 싶은 것들을 정리해봤다. 2026년 목표는 크게 4가지다.1. 남아있는 오픈소스 버그바운티 보고서 분석작년부터 자체적으로 구축해온 AI 기반 취약점 탐지 워크플로우로 꽤 많은 오픈소스 프로젝트에서 유의미한 취약점들을 찾아왔다. 근데 문제가 하나 있다. AI가 취약점을 찾는 속도가 직접 재현해서 보고서를 쓰는 속도보다 압도적으로 빠르다는 것.덕분에 지금 분석도 못 한 취약점이 수백 개 쌓여 있는 상태다. 올해 상반기는 이 백로그를 하나씩 털어내는 게 최우선 목표다.2. 오픈소스 취약점 탐색에서 모바일 앱으로 확장지금까지는 소스코드가 전부 공개된 화이트박스 오픈소스 환경에 집중해왔다. 근데 이 분야는 이미 많은 연구자들이 뛰어들고 있..

SummaryAn authorization bypass vulnerability exists in Grafana’s datasource deletion API due to a TOCTOU (time-of-check to time-of-use) mismatch in the name-based delete path. The affected surface is Grafana’s datasource deletion feature and the endpoint DELETE /api/datasources/name/:name. The root cause is that the authorization layer resolves the name to a UID scope and caches the result, whil..

1. SummaryA denial-of-service (DoS) vulnerability exists in google.protobuf.json_format.ParseDict() in Python, where the max_recursion_depth limit can be bypassed when parsing nested google.protobuf.Any messages.Due to missing recursion depth accounting inside the internal Any-handling logic, an attacker can supply deeply nested Any structures that bypass the intended recursion limit, eventually..