지난 9월, 퍼플렉시티 AI의 CEO 아라빈드 스리니바스는 200달러짜리 ‘코멧(Comet)’ 브라우저를 학생에게 무료로 푼다고 밝혔다. 역대급 속도로 답을 찾는 공부 도우미가 되겠다는 취지였다. 하지만 몇 주도 안 돼 그는 학생들에게 그 ‘도우미’가 모든 일을 대신하게 두지 말라고 상기시키는 처지에 놓였다.

발단은 X(엑스)에 올라온 한 게시물이었다. 한 개발자가 코멧으로 코세라(Coursera) 과제를 통째로 몇 초 만에 끝내는 영상을 올린 것이다. 16초짜리 클립에서 코멧은 ‘Complete the assignment’라는 한 줄 지시만으로 약 45분 분량의 웹디자인 과제를 단숨에 처리했다. 이용자는 퍼플렉시티와 스리니바스를 태그하며 “코세라 과정 막 끝냈다”고 자랑했다.

스리니바스의 답글은 네 단어였다. “절대 그러지 마세요(Absolutely don’t do this).”

AI가 교실 깊숙이 스며들고, 빅테크가 ‘학습 지원’을 내세워 학생을 겨냥한 마케팅을 공격적으로 펼치는 가운데 나온 공개 경고다. 퍼플렉시티의 무료 학생 프로모션은 구글, 마이크로소프트, 앤스로픽 등과 함께 ‘튜터’ ‘스터디 버디’ ‘생산성 향상’ 등을 내세운 유사 프로그램 대열에 합류했다.

하지만 교육자들은 이런 도구가 학습을 건너뛰는 지름길로 쓰이고 있다고 우려한다. 많은 학생이 AI로 에세이를 쓰고, 퀴즈를 풀고, 심지어 강좌 전체를 자동화하며, 도구가 키워 준다고 하는 역량을 되레 잠식하고 있다는 지적이다.

특히 코멧은 학생 일을 ‘대신 해주기’에 최적화돼 있다. 흔한 챗봇이 아니다. 퍼플렉시티가 ‘에이전트형’ AI 브라우저라고 부르는 코멧은 텍스트를 뱉는 수준을 넘어, 사용자의 지시를 해석하고, 대신 행동하며, 양식을 채우고, 복잡한 워크플로를 스스로 탐색한다. 이런 자율성이 과제를 몇 초 만에 밀어붙이게 하지만, 배치되는 순간 새로운 위험도 키운다.

사이버보안 기업 브레이브(Brave)와 가디오(Guardio)의 보안 점검은 심각한 취약점을 지적했다. 경우에 따라 코멧은 웹페이지에 숨겨진 지시를 실행할 수 있는데, 이른바 ‘프롬프트 인젝션’ 공격에 노출되는 셈이다.

레이어X 연구진이 ‘코멧재킹(CometJacking)’이라 이름 붙인 특히 우려스러운 사례에선 조작된 URL만으로 브라우저를 장악해 이메일·캘린더 등 민감 정보를 외부로 빼낼 수 있었다.

가디오의 점검에선 코멧이 가짜 사이트에서 허위 결제를 끝까지 진행한 사례도 나왔다. 사람의 확인 없이 체크아웃 과정을 전부 완료한 것이다. 피싱 시나리오 대응도 미흡했다. 정상으로 위장한 악성 링크를 유효한 작업으로 처리해 버렸다.

동시에 코멧의 이런 능력은 학업 부정에 더없이 유용하다. 코멧은 ‘조언’이 아니라 ‘행동’하도록 설계돼 있어 ‘공부 도와주기’가 금세 ‘대신 해주기’로 바뀐다. 코세라 영상은 그 전환을 적나라하게 보여준다. 교육 현장의 AI 논쟁 주제를 에세이·요약 같은 ‘콘텐츠 생성’에서, 양식 작성·절차 수행 같은 ‘행동 자동화’로 옮겨 놓은 셈이다.

결국 스리니바스의 짧은 꾸짖음은 시사하는 바가 분명했다. AI는 공부를 돕는 도구일 수 있지만, 공부 자체를 대체해선 안 된다는 거다.

/ 글 Eva Roytburg & 편집 김다린 기자 quill@fortunekorea.co.kr