curl专案维护者审查AI模型分析的漏洞结果后,确认仅1项低严重性漏洞,误判率仍相当高
由Anthropic开发的AI资安模型Mythos,首次应用于开源专案curl的程式码分析,并产出第一批成果。 Mythos扫描约17.6万行程式码后,共发现5项漏洞,但经curl资安团队人工审查后,仅确认1项为实际的安全漏洞,其余4项中,有3项为误判(false positives),1项为一般程式错误(bug)。
curl创办人与维护者Daniel Stenberg在部落格文章中表示,在Mythos之前,他们已经使用多种AI工具,如AISLE、Zeropath与OpenAI的Codex Securitycurl来扫描curl程式码,依据这些工具的分析结果,在过去8到10个月修复200、300个程式错误,并确认与发布至少十几项CVE漏洞。这意味着,curl原本就相当积极进行程式码审核与漏洞修补工作,要再发现新问题也变得更困难 。
近期他们经由Linux基金会的Alpha-Omega专案安排,由研究人员协助使用Mythos扫描curl程式码,在5月6日收到第一份分析报告。他们原本预期会收到一长串的问题清单,但实际上Mythos只提出5项漏洞,curl资安团队仔细审查Mythos的报告后,确认只有1项是实际存在的低严重性漏洞,另3项为AI误判,剩余1项则只是一般的程式错误(bug)。 Mythos的报告也额外提出20项程式错误(bug),Daniel Stenberg表示该模型在这方面几乎没有误判。
Daniel Stenberg表示,Mythos没有找到新型或记忆体漏洞,与其他既有AI工具相比,显然这个AI模型发现问题的能力并没有重大突破,但他也强调,由于他们先前已使用多种工具发现与修补curl中的问题,留给Mythos的空间已相对有限,单纯比较漏洞发现数量并不公平。至于Mythos发现的1项漏洞,则将在6月下旬发布的curl 8.21.0版中修补。
daniel.haxx.se – 11 May 26
Mythos finds a curl vulnerability
yes, as in singular one. Back in April 2026 Anthropic caused a lot of media noise when they concluded that their new AI model Mythos is dangerously good at finding security flaws in source code. Apparently Mythos was so good at this that Anthropic...
iThome
AI資安模型Mythos首度實戰curl專案,發現1項漏洞與20項程式缺陷
curl專案維護者審查AI模型分析的漏洞結果後,確認僅1項低嚴重性漏洞,誤判率仍相當高
2 个帖子 - 2 位参与者