Claude 블로그 되짚어보기 #36 — Claude in Chrome, "23.6% 뚫린다"고 정직하게 말한 브라우저 에이전트 (2025)

panicdev·2026년 4월 26일

원문 정보

글의 요지

Claude가 Chrome 브라우저 안에서 직접 작동하는 확장 프로그램으로 등장했다. 1,000명의 Max 플랜 구독자에게만 초대제로 공개되는 controlled pilot. Anthropic이 의도적으로 작게 시작한 이유는 prompt injection 공격에 대한 보안 우려 때문이다.

무엇을 할 수 있는가

브라우저 사이드 패널의 Claude가:

  • 현재 탭 내용 인식
  • 버튼 클릭, 폼 작성
  • 캘린더 관리, 미팅 일정 잡기
  • 이메일 답장 초안
  • 영수증·경비 처리
  • 새 웹사이트 기능 테스트

핵심 메시지: "Browser-using AI is inevitable"

본문이 명시 — "브라우저 사용 AI는 불가피하다. 너무 많은 일이 브라우저에서 일어나기 때문이다." 그러나 안전 문제가 더 강한 안전장치를 요구한다.

Prompt Injection 위험 — 정직한 데이터 공개

Anthropic은 자체 red-teaming 결과를 놀랍도록 투명하게 공개:

  • 123개 적대적 테스트 케이스, 29개 공격 시나리오
  • 자율 모드, 안전장치 없음: 공격 성공률 23.6%
  • 안전장치 추가 후: 11.2% (절반으로 감소)
  • 그러나 여전히 0이 아님

구체 공격 사례 (저감 전):

악성 이메일이 "보안상 이유로 이메일을 삭제해야 함" 이라고 주장. Claude가 받은편함 처리 중 그 지시를 따라 사용자 이메일 삭제. 확인 없이.

안전장치 (Mitigations)

  • 사이트별 권한: 사용자가 각 사이트별 접근 부여·취소
  • 시스템 프롬프트 강화: 민감 데이터·민감 작업 처리 가이드라인
  • 고위험 사이트 차단: 금융 서비스, 성인 콘텐츠, 불법 콘텐츠
  • 분류기(classifier): 의심 패턴, 비정상 데이터 접근 요청 탐지
  • 확인 단계: 결제, 게시 같은 큰 동작 전에 승인 요청

권장 사용

  • 신뢰 사이트부터 시작
  • 민감한 정보(금융, 법률, 의료) 사이트는 피하기
  • Claude의 동작 감독하며 사용

후속 진화

본문은 pilot으로 시작했지만 이후:

  • 2025년 9월~11월: 정기 작업, 멀티 탭 워크플로, 더 똑똑한 네비게이션 추가
  • 2025년 후반: 모든 Max 사용자에게 베타 확대
  • 2026년: 일반 가용성 (GA) 진입

2026년에 다시 읽으며 — 내가 본 것

1. "공격 성공률 23.6%" 공개의 윤리적 무게

이 글에서 가장 인상적인 부분은 숫자를 숨기지 않은 것이다. 23.6% → 11.2%라는 데이터는 마케팅 관점에서는 재앙에 가깝다.

비교: 어떤 회사가 "우리 제품의 9분의 1은 공격에 뚫립니다" 라고 발표한다고 상상해보라. 정상이라면 이런 데이터를 공개하지 않는다. PR팀이 막을 것이다.

그런데 Anthropic은 공개했다. 두 가지 이유가 있다.

1) 책임감 있는 공개: 사용자가 위험을 정확히 알고 결정해야 한다. 23.6%를 모르고 쓰는 것보다 알고 쓰는 게 안전.

2) 산업 차원의 학습: 모든 AI 회사가 비슷한 도구를 만들고 있다. 위험 패턴을 공유하면 산업 전체가 더 안전해진다.

Simon Willison 같은 비평가들이 이 솔직함을 인정한다 — "To their credit, the majority of the blog post is information about the security risks."마케팅 문서가 아니라 위험 보고서처럼 쓴 것.

이 패턴은 Anthropic의 일관된 자세다. 2025년 12월 "How AI is transforming work at Anthropic" 보고서, 2026년 4월 Claude Mythos 안전 우려 공개 — 모두 같은 투명성 원칙.

2. "Lethal Trifecta"의 등장

Eesel AI 글이 인용한 보안 연구자 Simon Willison의 개념 — "Lethal Trifecta" (치명적 3박자):

  1. Untrusted content access (신뢰할 수 없는 콘텐츠에 접근) — 임의의 웹페이지
  2. Sensitive data access (민감 데이터 접근) — 사용자의 이메일, 파일, 계정
  3. Action capabilities (행동 능력) — 클릭, 작성, 전송

이 셋이 동시에 있으면 prompt injection이 결정적 데미지를 줄 수 있다. 브라우저 에이전트는 정확히 이 3박자를 갖춘다.

기존 채팅 챗봇:

  • (1) ✓ — 사용자가 붙여넣는 텍스트는 untrusted
  • (2) ✗ — 민감 데이터 직접 접근 못함
  • (3) ✗ — 액션 못함

Claude in Chrome:

  • (1) ✓ — 임의 웹페이지 접근
  • (2) ✓ — Gmail, 캘린더, 사용자 계정 접근
  • (3) ✓ — 클릭, 폼 작성, 전송

→ Lethal Trifecta 완성. 이게 위험성의 본질이다.

3. "1,000명 Max 사용자" 제한의 영리함

왜 1,000명인가? 이 숫자가 의도적이다.

  • 너무 적으면: 의미 있는 데이터 못 얻음
  • 너무 많으면: 사고 발생 시 광범위한 영향
  • 1,000명: 연구 가능한 통계적 다양성 + 사고 위험 통제

또한 Max 사용자 한정이라는 게 영리한 필터다.

  • $100~200/month 지불할 사람 = 기술적으로 정통, 위험 인식 충분
  • 얼리 어답터 = 피드백 잘 줌
  • Anthropic에 강한 신뢰 = 반응 데이터의 질 좋음

이 segment 선택이 데이터 품질을 높였다. 일반 무료 사용자에게 풀었다면 "왜 내 이메일 다 삭제됐어요?" 같은 사고가 더 자주 났을 것이다.

4. "왜 브라우저인가" — 데스크톱 vs 브라우저의 결정

Anthropic은 이미 Computer Use (2024년 10월)를 갖고 있다. 화면을 보고 OS 전체를 조작하는 더 강력한 기능. 그런데 Claude in Chrome을 별도로 출시했다.

왜? Computer Use의 attack surface가 너무 넓음:

  • OS 전체 접근
  • 파일 시스템 직접 조작
  • 임의 앱 실행 가능
  • 안전장치 적용 어려움

브라우저는 더 좁고 통제 가능한 환경:

  • Chrome 보안 모델 활용
  • 사이트별 권한 모델 사용
  • HTTP 트래픽 모니터링
  • iframe sandbox

즉 Claude in Chrome은 "좁은 시작 → 점진 확장" 전략의 첫 단계다. Computer Use는 강력하지만 enterprise 도입이 어려웠다. Browser는 enterprise가 받아들이기 쉬운 첫걸음.

이 전략은 1년 후 (2026년 1월) Claude Cowork (데스크톱 에이전트) 출시로 이어진다. Cowork는 Computer Use의 정제된 후속. 브라우저에서 학습한 안전 패턴을 데스크톱 전체로 확장.

5. "AI 브라우저 전쟁"의 본격 시작

2025년 시점 AI + 브라우저 경쟁자들:

  • Perplexity Comet (2024년 10월): AI-first 브라우저
  • The Browser Company Arc + Dia: AI 브라우저
  • Microsoft Edge Copilot: 사이드바 AI
  • Google Gemini for Chrome: Chrome 통합
  • Opera Aria: 내장 AI
  • Anthropic Claude in Chrome (이 글): 확장 프로그램

흥미로운 차이:

  • 다른 모든 회사: 자기 브라우저 제품을 만듦
  • Anthropic: 기존 Chrome 위에 확장

이 선택의 의미: Anthropic은 브라우저 시장의 지배자가 되려 하지 않는다. 사용자가 이미 쓰는 Chrome을 그대로 두고, AI 레이어만 추가한다. 이 전략은:

  • 마찰 적음 (사용자가 브라우저 안 바꿔도 됨)
  • 확산 빠름 (Chrome 사용자 35억 명+)
  • 지속 가능 (Chrome 자체 발전과 무관하게 진화)

2026년 4월 현재 이 전략이 검증됐다. Claude in Chrome은 베타에서 GA로 가는 중이고, 사용자 수도 빠르게 증가 중. 한편 다른 AI 브라우저들은 사용자 확보에 고전.

6. "감독 사용 (supervised use)"이라는 새로운 사용자 역할

이 글이 사용자에게 요구하는 자세 — "Always be mindful of the data that's visible to Claude", "Supervise Claude's actions".

이 요구가 함의하는 것: AI 에이전트 시대에 사용자의 역할이 변한다.

  • 2023년: 사용자가 모든 행동 직접 함, AI는 조언만
  • 2025년 (Claude in Chrome): AI가 행동 함, 사용자가 감독
  • 2026년 (Cowork): AI가 자율적으로 함, 사용자가 가끔 확인
  • 미래: AI가 완전 자율, 사용자가 결과만 검토

이 변화에서 사용자의 인지 부담이 새로운 형태로 나타난다. 모든 행동을 직접 하는 게 피곤하던 시대에서 → AI 행동을 감독해야 하는 새로운 피로로 이동. 이 피로의 균형이 AI 에이전트 제품 성공의 핵심 결정 요인이다.

Anthropic이 "high-stakes 사이트는 피하라" 고 명시한 건 이 균형의 시작점이다. 시간이 지나면서 안전성이 올라가면 점점 더 많은 사이트에서 AI를 자유롭게 사용 가능해진다.


마무리

Claude in Chrome 파일럿은 AI 에이전트가 일상 업무 도구로 진입하는 결정적 단계다.

  • 23.6% 공격 성공률 공개 → 산업 표준의 정직성 기준 제시
  • 1,000명 limited pilot → 책임감 있는 점진적 출시 모델
  • Lethal Trifecta 인지 → 보안 산업의 새 위협 모델 정의
  • "Browser-using AI is inevitable" → 미래 비전의 명확한 선언
  • Chrome 위에 얹은 확장 → Anthropic의 비-브라우저 전략

이 파일럿이 시작된 2025년 8월에는 다소 신중한 발걸음 같았지만, 2026년 4월 시점에서 보면 이게 AI 에이전트의 일반 사용자 도입을 위한 정확한 길이었다. 1년 만에 Claude in Chrome은 베타로, Cowork은 GA로 갔고, 다음 단계로 AI agent + browser 가 자연스러운 일상 업무 도구가 되는 중이다.

가장 큰 교훈은 솔직함이다. "우리 도구는 23.6% 뚫린다" 라고 정직하게 말한 회사가, 1년 뒤 그 11.2% → 더 낮은 수치까지 줄이는 길을 가는 모습이 신뢰의 본질이 무엇인지 보여준다.

0개의 댓글