Основатель и ведущий разработчик Curl Даниэль Стенберг (Daniel Stenberg) протестировал «закрытую» ИИ-модель Mythos компании Anthropic и остался не слишком впечатлен: Mythos нашла в Curl лишь одну незначительную уязвимость.
В своем блоге Стенберг раскритиковал ажиотаж вокруг Mythos, которую разработчики называли настолько эффективной в поиске уязвимостей, что ее якобы было слишком опасно выпускать в публичный доступ. Однако после анализа кодовой базы Curl модель обнаружила всего одну подтвержденную уязвимость низкой степени серьезности, и Стенберг пришел к выводу, что «весь хайп вокруг модели пока был в первую очередь маркетинговым трюком».
Напомним, в апреле 2026 года Anthropic громко анонсировала Claude Mythos Preview и заявила, что модель настолько эффективна в поиске уязвимостей и создании эксплоитов, что ее публичный релиз создал бы настоящий хаос.
Вместо этого компания запустила Project Glasswing — закрытую программу, в рамках которой около 50 партнеров (среди них Amazon Web Services, Apple, Cisco, CrowdStrike, Google, Microsoft, Nvidia и другие) получили доступ к модели для поиска проблем в собственных продуктах.
Также доступ к модели решили выдать ограниченному числу организаций и опенсорсных проектов через Linux Foundation. Одним из таких проектов стал Curl. При этом Стенбергу пообещали доступ к Mythos, но в итоге он его так и не получил: вместо этого кто-то из участников программы просто прогнал модель по репозиторию Curl и прислал разработчику готовый отчет. По словам Стенберга, это его не смутило:
«Не то чтобы у меня было много времени экспериментировать с промптами и устраивать глубокие исследования. Уже хорошо, если инструмент способен выдать качественный первичный анализ».
Mythos проанализировала около 178 000 строк кода из src/ и lib/ в master-ветке Curl и заявила, что нашла пять «подтвержденных уязвимостей». Однако после ручной проверки команда Curl сократила этот список до одной реальной проблемы.
Три находки оказались ложными срабатываниями — модель указала на ограничения, которые уже описаны в API-документации. Еще один случай разработчики сочли обычным багом, а не уязвимостью.
В итоге единственная подтвержденная проблема получит идентификатор CVE с низким уровнем серьезности и будет раскрыта вместе с релизом Curl 8.21.0 в конце июня 2026 года.
«Уязвимость явно не из тех, из-за которых кто-то схватится за сердце», — иронизирует Стенберг.
При этом разработчик подчеркивает: Mythos действительно обнаружила ряд других ошибок, не связанных с безопасностью, а сами отчеты были составлены качественно. Однако ничего революционного в работе модели он не увидел. Стенберг отмечает:
«Я не вижу никаких доказательств того, что эта система ищет проблемы на каком-то принципиально более высоком уровне, чем другие инструменты до Mythos».
Стенберг отдельно подчеркивает, что сам Curl давно и активно проверяют ИИ-инструментами. За последние месяцы команда использовала для этих целей AISLE, Zeropath и OpenAI Codex Security. По словам разработчика, эти инструменты помогли исправить от 200 до 300 багов, а часть находок получила идентификаторы CVE.
При этом Стенберг пишет, что вовсе не считает современные ИИ бесполезными. Напротив, он признает, что ИИ-анализаторы кода уже заметно превосходят классические статические решения:
«Любой современный ИИ сейчас хорошо справляется с поиском уязвимостей. Хаос высокого качества — это реальность».
Однако, по мнению разработчика, такие модели пока не умеют находить принципиально новые классы проблем:
«ИИ находит привычные и давно известные типы ошибок. Просто теперь он обнаруживает новые экземпляры таких багов».
Фактически разработчик пишет о том, что пока ИИ не «изобретает» новые классы уязвимостей, а просто лучше масштабирует поиск уже известных проблем.
Также Стенберг напомнил, что Curl — один из самых проверяемых C-проектов в мире. Код библиотеки годами прогоняют через фаззинг, статические анализаторы и проводят аудиты безопасности. С проектом уже связаны 188 CVE, а сам Curl насчитывает более 20 млрд установок и работает на 110 операционных системах и 28 архитектурах.
В итоге Стенберг называет Mythos «невероятно успешным маркетинговым трюком», хотя признает, что ИИ уже стал важным инструментом для ИБ-исследователей, а в будущем такие системы будут использоваться еще активнее.
