2026年5月11日,curl项目维护者Daniel Stenberg在博客中披露,Anthropic开发的AI安全扫描工具Mythos在curl代码库中发现了一个真实的安全漏洞。这是AI自动化安全研究领域的一个标志性事件。
事件经过
Mythos是Anthropic推出的AI安全扫描工具,属于Linux Foundation旗下的Project Glasswing项目(由Alpha Omega计划支持)。该工具对curl的主分支代码进行了全面扫描,初始报告声称发现了5个”已确认的安全漏洞”。
然而,curl安全团队在仔细审查后发现,5个”确认”的漏洞中:
- 1个真实漏洞:将作为低危CVE发布,计划与curl 8.21.0版本在6月下旬同步公开
- 3个误报:AI将文档中已说明的API限制当成了安全缺陷
- 1个普通bug:安全团队认为这只是一般性代码问题,不构成安全威胁
AI安全扫描的现状
除了漏洞报告外,Mythos还发现了约20个普通代码bug,描述详细且几乎没有误报。Daniel Stenberg表示,curl团队正在逐一修复这些问题。
但他也指出,从修复数量来看,此前使用的其他AI工具反而发现了更多需要修复的问题。这是正常的——随着curl不断修复问题,发现新问题的难度自然越来越高。况且,bug有大有小,单纯比较数量并不公平。
curl项目背景
curl是互联网基础设施中最核心的开源项目之一:
- 代码规模:约176,000行代码
- 历史CVE:188个已公开的安全漏洞
- 安装量:超过200亿次
- 应用场景:几乎所有联网设备都在使用curl
AI安全研究的启示
这次事件说明了几个重要趋势:
1. AI扫描工具正在变得实用:Mythos虽然初始报告有4个误报,但确实在176K行代码中找到了1个真实漏洞和约20个bug。对于如此成熟且经过大量审查的项目来说,这个结果已经不错。
2. 人工审查仍然不可或缺:AI报告的5个”确认”漏洞中只有1个是真的,说明AI工具的自信判断需要安全专家的人工验证。
3. 开源安全生态受益:Project Glasswing通过Linux Foundation为开源项目提供免费的AI安全扫描,这对整个开源生态的安全性提升有积极意义。
站长和开发者需要关注什么
如果你的项目依赖curl(几乎所有项目都是),需要注意:
- 关注curl 8.21.0版本的发布(预计6月下旬),届时将包含该CVE的修复
- 该漏洞被标记为”低危”,不需要紧急处理,但建议及时更新
- 考虑在自己的项目中引入AI安全扫描工具,提前发现潜在问题
简评
AI安全扫描从”实验性”走向”实用化”的标志性事件。虽然AI的判断仍需人工验证,但它已经在帮助维护者发现真实问题。对于站长来说,这意味着未来可能会有更多免费或低成本的AI安全扫描服务可用。
暂无评论内容