curl 首席开发者亲测 Anthropic Mythos:5 个"确认漏洞"最终仅剩 1 个低危 CVE
-
curl 开源项目首席开发者丹尼尔·斯滕伯格(Daniel Stenberg)5 月 11 日在个人博客发文,记录了 Anthropic AI 安全模型 Mythos 扫描 curl 代码库的完整经过与结论。Stenberg 原已签约通过 Linux 基金会旗下 Alpha Omega 项目获得 Mythos 访问权限(Anthropic 称此计划为"Project Glasswing"),但等待数周后被告知访问延误,最终由第三方代为扫描并提交报告。此次扫描覆盖 curl git 主干约 17.8 万行 C 代码,报告列出 5 项其认为"已确认"的安全漏洞——然而经 curl 安全团队逐一核查后,3 项被判定为误报(所涉行为均已在 API 文档中有明确说明),1 项认定为"普通 bug",仅剩 1 个漏洞被确认,严重级别仅为"低危",将随 curl 8.21.0 于 6 月底发布时同步披露 CVE 详情;报告另注明零内存安全漏洞。
Stenberg 对此次测试的总体结论颇为直接:他认为 Anthropic 于 4 月宣传 Mythos 时掀起的媒体浪潮"主要是营销",在 curl 这一代码库上,Mythos 并未展现出明显优于此前工具(AISLE、Zeropath、OpenAI Codex Security 等)的漏洞发现能力——上述工具在过去 8~10 个月已推动约 200~300 个补丁合并。这一结果部分归因于 curl 本身是"迄今被模糊测试和安全审计最彻底的 C 代码库之一",Mythos 报告自身也承认在 HTTP/1、TLS、URL 解析等热路径"找到任何问题的可能性极低"。尽管如此,Stenberg 强调 AI 驱动的代码分析工具整体已远超传统静态分析器,并警告"不使用 AI 代码分析器,意味着你在给攻击者留出时间和机会";curl 已在全球超过 200 亿个实例上运行,此前已累计公开 188 个 CVE。
Mythos finds a curl vulnerability
yes, as in singular one. Back in April 2026 Anthropic caused a lot of media noise when they concluded that their new AI model Mythos is dangerously good at finding security flaws in source code. Apparently Mythos was so good at this that Anthropic would not release this model to the public yet but instead … Continue reading Mythos finds a curl vulnerability →
daniel.haxx.se (daniel.haxx.se)