Training Language Model Agents to Find Vulnerabilities with CTF-Dojo

 

개발자라면 누구나 한 번쯤은 상상해 봤을 겁니다.
"내가 만든 코드에 숨어있는 취약점을 자동으로 찾아주는 똑똑한 도구가 있다면 얼마나 좋을까?"

 

CTF-Dojo는 바로 그 상상을 연구 수준에서 현실로 끌어내린 프로젝트입니다. 기존의 언어 모델들이 대부분 정적 분석에 초점을 맞춘 것과는 달리, CTF-Dojo는 실행 가능한 환경에서의 훈련을 지향합니다.

 

이 논문이 흥미로운 이유는 단순히 "언어 모델의 성능 향상" 수준을 넘어서, 실행 기반의 피드백 루프 안에서 사용자의 실제 문제 해결 능력에 반응할 수 있도록 설계되었다는 점입니다. 예를 들어, CTF 스타일의 과제를 통해 모델이 취약점을 탐지하고 해결하는 능력을 키우는 것입니다. 이제 진짜로 '코드 속의 탐정'이 나타난 거죠.

 

✅ 어떻게 작동하나요? – CTF-Dojo의 핵심 아이디어

 

CTF-Dojo가 도입한 가장 눈에 띄는 개념은 바로 "실행 기반 훈련 환경"입니다. 이는 언어 모델이 실제로 코드를 실행하고, 그 결과를 바탕으로 학습할 수 있도록 하는 환경입니다.

 

이러한 환경은 실제로 Docker 컨테이너로 구현되며, 이를 통해 재현 가능한 실행 환경을 제공하는 게 CTF-Dojo의 강점입니다.

 

이 모델은 총 3단계의 훈련 과정을 거쳐 만들어졌습니다:

• CTF-Forge 생성 – 공개된 아티팩트를 실행 가능한 환경으로 자동 변환하는 파이프라인 개발
• 실행 기반 훈련 – CTF-Dojo에서 제공하는 과제를 통해 언어 모델을 훈련
• 성능 검증 – 다양한 벤치마크를 통해 모델의 성능 평가

 

✅ 주요 기술적 특징과 혁신점

 

CTF-Dojo의 핵심 기술적 특징은 크게 세 가지 측면에서 살펴볼 수 있습니다.

 

1. 실행 기반 피드백 루프
이는 모델이 코드를 실행하고 그 결과를 학습에 반영하는 방식입니다. 기존의 정적 분석과 달리, 실행 결과를 통해 보다 정확한 피드백을 제공하여 성능을 향상시켰습니다.

 

2. 자동화된 환경 생성
CTF-Forge를 통해 수작업 없이도 실행 환경을 자동으로 생성할 수 있습니다. 이는 기존의 수작업 환경 설정에 비해 시간과 비용을 절감하는 데 큰 기여를 했습니다.

 

3. 대규모 CTF 과제 제공
658개의 CTF 스타일 과제를 통해 다양한 문제 해결 능력을 훈련할 수 있습니다. 이는 특히 다양한 상황에서의 문제 해결 능력을 제공합니다.

 

✅ 실험 결과와 성능 분석

 

CTF-Dojo의 성능은 다음과 같은 실험을 통해 검증되었습니다.

 

1. InterCode-CTF에 대한 성능
이 벤치마크에서 CTF-Dojo는 11.6%의 절대 성능 향상을 달성했습니다. 이는 기존의 강력한 모델들과 비교했을 때도 뛰어난 성능을 보여줍니다.

 

2. NYU CTF Bench에서의 결과
이 환경에서 CTF-Dojo는 31.9%의 Pass@1 성능을 기록했습니다. 이는 최첨단 모델들과 견줄 만한 성과입니다.

 

3. Cybench에서의 평가
실제 환경에서의 테스트에서도 높은 성능을 보였으며, 특히 실행 기반의 문제 해결 능력이 돋보였습니다.

 

이러한 실험 결과들은 CTF-Dojo가 실행 기반의 훈련을 통해 높은 성능을 달성할 수 있음을 보여줍니다. 특히 이러한 접근 방식은 향후 다양한 응용 분야에 중요한 시사점을 제공합니다.

 

✅ 성능은 어떨까요?

 

CTF-Dojo는 InterCode-CTF와 NYU CTF Bench라는 첨단 벤치마크에서 각각 31.9%, 11.6%이라는 점수를 기록했습니다. 이는 DeepSeek-V3-0324와 Gemini-2.5-Flash 수준의 성능입니다.

실제로 다양한 CTF 과제에서 모델이 자연스럽게 문제를 해결하는 모습을 보입니다.
물론 아직 "복잡한 문제 해결" 영역에서 약간의 미흡함이 존재하긴 하지만, 현재 수준만으로도 다양한 서비스에 활용 가능성이 큽니다.

 

✅ 어디에 쓸 수 있을까요?

 

CTF-Dojo는 단지 새로운 모델이 아니라, "실행 기반 학습"이라는 흥미로운 방향성을 제시합니다.
앞으로는 더 많은 자동화된 문제 해결, 예를 들면 보안 취약점 탐지, 코드 최적화까지 인식하게 될 가능성이 큽니다.

• 보안 분야: 자동으로 보안 취약점을 탐지하고 해결하는 데 활용될 수 있습니다.
• 소프트웨어 개발: 코드의 품질을 자동으로 평가하고 개선하는 데 기여할 수 있습니다.
• 교육 분야: 프로그래밍 교육에서 실습 환경으로 활용될 수 있습니다.

이러한 미래가 CTF-Dojo로 인해 조금 더 가까워졌습니다.

 

✅ 개발자가 지금 할 수 있는 일은?

 

CTF-Dojo에 입문하려면, 기본적인 Docker와 CTF 문제 해결에 대한 이해가 필요합니다.
다행히도 GitHub에 예제 코드가 잘 정리되어 있어, 이를 통해 쉽게 학습할 수 있습니다.

실무에 적용하고 싶다면?
필요한 데이터와 리소스를 확보하고, 다양한 CTF 과제를 테스트하면서 모델을 적용하는 것이 핵심입니다. 또한, 지속적인 업데이트와 개선 작업도 병행되어야 합니다.

 

✅ 마치며

 

CTF-Dojo는 단순한 기술적 진보를 넘어, 실행 기반 학습의 패러다임 전환을 향한 중요한 이정표입니다. 이 기술이 제시하는 가능성은 소프트웨어 개발 생태계의 미래를 재정의할 잠재력을 가지고 있습니다.

 

우리는 지금 기술 발전의 중요한 변곡점에 서 있으며, CTF-Dojo는 그 여정의 핵심 동력이 될 것입니다. 당신이 이 혁신적인 기술을 활용하여 미래를 선도하는 개발자가 되어보는 건 어떨까요?

 

⨠ 논문 원문 보러가기

 

✅ 같이 보면 좋은 참고 자료들

 

VoxHammer: Training-Free Precise and Coherent 3D Editing in Native 3D Space
- 논문 설명: 지정된 영역의 3D 로컬 편집은 게임 산업과 로봇 상호작용에 매우 중요합니다.
- 저자: Lin Li, Zehuan Huang, Haoran Feng, Gengxiong Zhuang, Rui Chen, Chunchao Guo, Lu Sheng
- 발행일: 2025-08-26
- PDF: 링크

Articulate3D: Zero-Shot Text-Driven 3D Object Posing
- 논문 설명: 우리는 언어 제어를 통해 3D 자산을 포즈하는 훈련이 필요 없는 방법인 Articulate3D를 제안합니다.
- 저자: Oishi Deb, Anjun Hu, Ashkan Khakzar, Philip Torr, Christian Rupprecht
- 발행일: 2025-08-26
- PDF: 링크

Autoregressive Universal Video Segmentation Model
- 논문 설명: SAM2와 같은 최신 비디오 기초 모델은 마스크를 범용 프리미티브로 취급하여 프롬프트 비디오 분할에서 뛰어난 성능을 발휘합니다.
- 저자: Miran Heo, Sukjun Hwang, Min-Hung Chen, Yu-Chiang Frank Wang, Albert Gu, Seon Joo Kim, Ryo Hachiuma
- 발행일: 2025-08-26
- PDF: 링크