이 게시물은 LLM을 이용한 서비스 취약점 분석 자동화 경험을 공유하는 글입니다.

핵심 문제와 해결

• 대용량 소스코드 토큰 한계로 RAG와 압축 시도 실패 및 hallucination 발생
• MCP 기반 SourceCode Browse로 LLM이 필요할 때만 코드 참조하도록 Tool Calling 제공
• 정확도 문제 해결을 위해 Semgrep로 모든 Source→Sink 경로 수집하여 누락 방지
• 비용 절감을 위해 Multi-Agent로 필터링 후 분석, Open Model(Qwen3 등) 도입으로 지속 가능성 확보
• 종합적으로 95% 이상 정확도에 도달