Gemini가 해킹 점검 요청은 거절하고 보안 체크리스트만 제시

에 개인 웹사이트의 콘테스트 기능과 API가 해킹되어 가짜 좋아요를 만들 수 있는지 점검해 달라고 요청하자, 구체적인 보안 검사는 거절됐다. 요청 의도가 웹사이트를 보호하려는 것이라고 다시 설명해도, Gemini는 특정 를 분석할 수 없다고 답했다. 대신 어떤 부분을 확인해야 하는지는 알려줬다.

제시된 항목은 속도 제한, 인증, 입력 검증, IDOR 방지였다. 즉, Gemini는 실제 공격 가능성을 직접 짚어 주지는 않았지만, 가 스스로 확인할 보안 범주는 정리해 준 셈이다.

핵심 포인트

  • 는 특정 웹사이트와 API의 해킹 가능성 점검 요청을 거절했다.
  • 보호 목적이라고 설명해도 특정 분석은 거절됐다.
  • 대신 속도 제한, 인증, 입력 검증, IDOR 방지 같은 보안 확인 항목을 제시했다.
  • 보안 질문은 공격 분석보다 방어 형태로 물으면 답을 얻기 쉽다.
원문 보기