Anthropic 旗下的 AI 安全扫描模型 Mythos,最近被曝在 curl 代码库中找到了一个真实的安全漏洞。这是继 AISLE、Zeropath、OpenAI Codex Security 等多个 AI 代码分析工具之后,又一个对 curl 进行深度扫描的 AI 系统。curl 核心开发者 Daniel Stenberg 在博客中详细披露了整个测试过程和结果。
Mythos 是什么
Mythos 是 Anthropic 开发的代码安全分析模型,此前被外界传为”危险级漏洞发现工具”。Anthropic 并没有公开发布这个模型,而是通过 Linux Foundation 和 Alpha Omega 项目,选择性地向部分开源项目提供扫描服务,内部代号为 Project Glasswing。
curl 作为全球使用最广泛的 HTTP 客户端库,一直是各种安全扫描工具的重点测试对象。在 Mythos 之前,curl 已经被 AISLE、Zeropath、OpenAI Codex Security 等多个 AI 工具扫描过,累计修复了 200-300 个 bug,发布了十几个 CVE。
curl 代码库有多大
Daniel Stenberg 提供了一组数据,帮助理解 curl 代码库的规模:
- 176,000 行 C 代码
- 约 66 万个英文单词,比《战争与和平》还多 12%
- 每一行代码平均被重写过 4.14 次
- 573 位贡献者
- 历史上共发布 188 个 CVE
这个规模的 C 语言代码库,对任何安全扫描工具来说都是一个严格的考验。
Mythos 的扫描结果
Mythos 一共报告了 5 个”已确认”的安全漏洞。curl 安全团队逐一审查后,结论是:
- 1 个真实漏洞:严重等级为”低”,计划在 curl 8.21.0 版本中修复
- 4 个误报:其中一些是 curl 文档中已说明的 API 行为,另一些只是普通 bug 而非安全漏洞
此外,Mythos 还发现了大约 20 个非安全类 bug,这些 bug 的描述质量不错,误报率较低。
Mythos 真的比其他工具强吗
Daniel Stenberg 的结论相当直接:外界对 Mythos 的宣传主要是一种营销策略。从实际表现来看,Mythos 并没有比之前的 AI 代码分析工具有显著优势。
但他也强调了一个重要观点:AI 代码分析工具确实比传统静态分析工具强很多。任何还没有被 AI 工具扫描过的项目,很可能存在大量未被发现的安全问题。关键不在于哪个 AI 工具最强,而在于你有没有用 AI 去扫描过自己的代码。
curl 目前的 AI 使用情况
curl 项目目前在多个环节使用 AI:
- PR 代码审查使用 Copilot 和 Augment Code
- 安全扫描使用多个 AI 工具交叉验证
- AI 作为辅助工具而非替代人工审查
Stenberg 的总结很有参考价值:AI 帮忙但不替代。AI 扫描能找到的都是已知类型的错误模式,但挖出来的问题数量确实比以前的工具多得多。不用 AI 扫描代码,就等于给攻击者留出更多时间来发现你没找到的漏洞。
对站长和开发者的启示
这个事件给站长和开发者几个实用的参考:
- 开源项目的安全扫描应该成为常态:不管是用 AI 工具还是传统工具,定期扫描代码库是基本的安全实践。
- 不要神化任何单一工具:Mythos 的误报率说明,AI 扫描结果仍然需要人工审查和验证。
- 关注 curl 的安全更新:如果你的项目依赖 curl(几乎所有网络应用都依赖),建议关注 curl 的版本更新和安全公告。
- 考虑用 AI 审计自己的代码:GitHub Copilot、Augment Code 等工具已经能在 PR 审查中发现潜在问题。
对于站长来说,这个事件的核心信息是:AI 安全扫描工具正在变得越来越成熟,但它们是辅助工具而非银弹。定期更新依赖、关注上游安全公告、在代码审查中引入 AI 辅助,才是务实的安全策略。
Timothy Gowers Blog – A Recent Experience with ChatGPT 5.5 Pro
暂无评论内容