curl 开源项目首席开发者丹尼尔·斯滕伯格(Daniel Stenberg)5 月 11 日在个人博客发文,记录了 Anthropic AI 安全模型 Mythos 扫描 curl 代码库的完整经过与结论。Stenberg 原已签约通过 Linux 基金会旗下 Alpha Omega 项目获得 Mythos 访问权限(Anthropic 称此计划为"Project Glasswing"),但等待数周后被告知访问延误,最终由第三方代为扫描并提交报告。此次扫描覆盖 curl git 主干约 17.8 万行 C 代码,报告列出 5 项其认为"已确认"的安全漏洞——然而经 curl 安全团队逐一核查后,3 项被判定为误报(所涉行为均已在 API 文档中有明确说明),1 项认定为"普通 bug",仅剩 1 个漏洞被确认,严重级别仅为"低危",将随 curl 8.21.0 于 6 月底发布时同步披露 CVE 详情;报告另注明零内存安全漏洞。
Stenberg 对此次测试的总体结论颇为直接:他认为 Anthropic 于 4 月宣传 Mythos 时掀起的媒体浪潮"主要是营销",在 curl 这一代码库上,Mythos 并未展现出明显优于此前工具(AISLE、Zeropath、OpenAI Codex Security 等)的漏洞发现能力——上述工具在过去 8~10 个月已推动约 200~300 个补丁合并。这一结果部分归因于 curl 本身是"迄今被模糊测试和安全审计最彻底的 C 代码库之一",Mythos 报告自身也承认在 HTTP/1、TLS、URL 解析等热路径"找到任何问题的可能性极低"。尽管如此,Stenberg 强调 AI 驱动的代码分析工具整体已远超传统静态分析器,并警告"不使用 AI 代码分析器,意味着你在给攻击者留出时间和机会";curl 已在全球超过 200 亿个实例上运行,此前已累计公开 188 个 CVE。
daniel.haxx.se
https://daniel.haxx.se/blog/2026/05/11/mythos-finds-a-curl-vulnerability/