🤖
1305 in / 3559 out / 4864 total tokens
🔥 핫 토픽
넷플릭스, 첫 공개 AI 모델 VOID를 Hugging Face에 공개
넷플릭스가 Hugging Face에 첫 번째 공개 모델인 VOID(Video Object and Interaction Deletion)를 공개했다. 이 모델은 비디오에서 특정 객체나 상호작용을 삭제하는 기능을 수행한다. GitHub 저장소와 프로젝트 페이지도 함께 오픈됐다.
이 소식이 업계에서 주목받는 이유는 넷플릭스가 그동안 독자적인 추천 알고리즘과 인코딩 기술을 사내에만 보유해왔는데, 이번에 처음으로 공개 모델을 내놓았다는 점 때문이다. 스트리밍 서비스 기업이 오픈소스 AI 생태계에 기여하겠다는 의지를 보여준 셈이다. 경쟁사인 Disney+, Amazon Prime Video가 유사한 기술을 보유하고 있는지는 불분명하지만, 넷플릭스가 선제적으로 모델을 공개함으로써 비디오 AI 분야의 표준을 주도하려는 전략으로 보인다.
개발자 입장에서 이 모델은 비디오 후처리 파이프라인에 통합해볼 만하다. 게임 개발자라면 컷신 제작 시 불필요한 객체를 제거하거나, 인게임 스크린샷/영상 캡처 기능에서 NPC나 UI 요소를 동적으로 지우는 용도로 활용할 수 있겠다. 언리얼 엔진의 Movie Render Pipeline과 결합하면 시네마틱 제작 워크플로우를 자동화할 수도 있을 것이다.
기술적으로 비디오에서 객체를 삭제하려면 temporal consistency가 핵심이다. 단일 프레임에서 객체를 지우는 건 inpainting 모델로 가능하지만, 연속된 프레임에서 깜빡임 없이 자연스럽게 지우려면 프레임 간 일관성을 유지해야 한다. VOID는 이 문제를 어떻게 해결했는지 논문과 코드를 까봐야 알 수 있겠지만, 추정컨대 optical flow나 attention mechanism을 활용해 시간축 정보를 반영했을 가능성이 크다.
Hugging Face 저장소를 보면 모델 가중치와 추론 코드가 포함돼 있다. 로컬 LLM 커뮤니티에서 큰 반응을 얻은 것도 주목할 만한데, 점수 622로 r/LocalLLaMA에서 꽤 높은 관심을 받았다. 이는 로컬 실행 가능한 비디오 AI 모델에 대한 수요가 크다는 방증이기도 하다. 클라우드 API에 의존하지 않고 자체 인프라에서 비디오 처리를 하고 싶은 개발자들이 많다는 뜻이다.
출처: Reddit r/LocalLLaMA | Hugging Face | GitHub
📰 뉴스
JavaScript가 iframe 내 CSP Meta Tag를 우회할 수 있을까?
원문: Simon Willison
Simon Willison이 iframe 내부에서 CSP(Content Security Policy) meta tag를 통한 JavaScript 실행 우회 가능성을 실험적으로 테스트했다. 이는 웹 보안, 특히 샌드박싱된 환경에서의 스크립트 실행 통제와 관련된 깊이 있는 탐구다.
이 실험이 중요한 이유는 AI 서비스들이 점점 iframe이나 샌드박스 환경에서 외부 콘텐츠를 렌더링하는 경우가 많아졌기 때문이다. 예를 들어, AI 챗봇이 생성한 HTML을 미리보기로 보여주거나, 사용자가 업로드한 웹 콘텐츠를 안전하게 표시해야 하는 상황이 빈번하다. 이때 CSP가 제대로 동작하지 않으면 XSS 공격에 노출될 수 있다.
개발자 관점에서 이 테스트는 iframe 보안 모델의 이해를 돕는다. 게임 개발자라면 웹 기반 게임 클라이언트나, 브라우저 게임에서 유저 생성 콘텐츠(UGC)를 표시할 때 유사한 문제에 직면할 수 있다. 특히 UE5의 Pixel Streaming이나 WebGL 빌드를 웹페이지에 임베드할 때 보안 정책을 어떻게 설정할지 고민해야 한다.
CSP는 기본적으로 웹페이지에서 실행 가능한 리소스 출처를 제한하는 보안 메커니즘이다. HTTP 헤더나 meta tag로 설정할 수 있는데, 문제는 iframe 내부에서 외부 CSP와 내부 CSP가 어떻게 상호작용하는지가 복잡하다는 점이다. Willison의 실험은 이 경계 조건을 탐구한다.
AI 애플리케이션 개발자라면 LLM이 생성한 코드를 실행하거나 렌더링할 때 이런 보안 이슈를 반드시 고려해야 한다. 특히 Function Calling이나 Code Interpreter 같은 기능을 구현할 때, 사용자 입력을 통한 코드 실행은 샌드박싱이 필수적이다. CSP 설정 하나 잘못하면 전체 서비스가 XSS 공격에 취약해질 수 있다.
Willison의 글은 2026년 4월 3일 작성됐는데, 이는 미래 날짜다. 아마도 그의 블로그 특유의 유머거나 실험적 포맷일 수 있으니 내용 자체에 집중하자. 핵심은 CSP와 iframe의 보안 경계를 이해하는 것이며, 이는 AI 서비스의 프론트엔드 보안 설계에 직접적인 영향을 미친다.
앞서 언급한 넷플릭스 VOID 모델과 직접적 연관은 없지만, 두 소식 모두 '경계'와 관련이 있다는 점은 흥미롭다. VOID는 비디오 프레임에서 객체의 경계를 인식해 삭제하고, CSP 실험은 웹 보안의 경계를 테스트한다. AI 시대에 기술적 경계를 어떻게 정의하고 관리하느냐가 점점 중요해지고 있다.
💭 마무리
넷플릭스가 오픈소스 AI에 진입했다. 비디오 처리 파이프라인에 새로운 도구가 생긴 셈인데, 로컬 실행 가능한 모델이라는 점이 특히 반갑다. 한편으로 웹 보안의 경계는 여전히 복잡하고, AI 서비스에서 코드 실행을 안전하게 격리하는 건 피할 수 없는 숙제다.