AI找漏洞没那么神!Mythos扫描curl只中一个!Mythos AI扫描curl代码库只发现一个真实漏洞,远低于媒体炒作。文章对比多种AI扫描工具效果,说明现代AI确实能发现安全缺陷,但未超越已有工具水平。
作者背景
Daniel Stenberg,curl项目创始人及首席开发者
AI扫描curl只找到一个真漏洞
2026年4月,Anthropic公司搞出了大新闻。他们说自家新AI模型Mythos找代码漏洞特别厉害,厉害到暂时不敢公开发布。他们打算先给少数几家公司用用,让这些公司有机会修复最要紧的问题。全世界都炸锅了,媒体疯狂报道。有人开始担心这是不是世界末日。我觉得吧,这更像是一次特别成功的营销炒作。
我本人其实没真正用上这个模型。Anthropic通过Linux基金会给开源项目提供访问权限,Linux基金会又让Alpha Omega项目负责这事。他们联系我说可以给我用,我高高兴兴答应了。合同签了,但啥也没发生。等了好几周,他们说出了点小问题,要延迟。后来他们改主意了,说可以让有权限的人帮我扫描curl代码然后发报告给我。我觉得没差,反正我也没时间自己折腾各种提示词做深度分析。有人帮我跑第一轮扫描就挺好,我痛快答应了。
我们早就用AI扫过curl很多次
在拿到Mythos第一份报告之前,我们已经用好几个AI工具扫过curl了。包括AISLE、Zeropath、OpenAI的Codex Security。过去八九个月里,这些工具帮我们修了两三百个漏洞。其中不少是确认的安全漏洞,已经发布了CVE编号,大概有十多个吧。现在我们还用GitHub Copilot和Augment来审核代码合并请求。这些机器人提的意见帮我们避免了不少新漏洞。当然我们还是会有bug,但没它们的话会更糟。AI辅助审核和人工审核一起干活,它们帮我们,但绝对没取代我们。
现在安全研究员也大量用AI来找漏洞,我们收到的安全报告质量高得吓人。安全是curl项目的头等大事。我们严格遵守每一条编码规范,认认真真做软件工程,就是为了减少代码里的毛病。扫描漏洞只是其中一环。你很难找到比curl在软件安全上投入更多的项目了。
保持curl安全要经过哪些步骤
2026年5月6日,我们终于拿到了Mythos生成的源码分析报告。特别期待,这是又一次提升curl的机会。这次扫描针对curl的git仓库主分支上某个特定提交。总共分析了src和lib目录下17.8万行代码。
报告详细列出了它用的搜索方法,以及重点找了哪些类型的漏洞。报告开头有句挺逗的话:curl是现在被fuzz测试和人工审核最多的C代码库之一。在热点路径上找到漏洞基本没戏。结果确实如此,它没在那些地方发现任何问题。
curl有多大
curl现在有17.6万行C代码,这还不算空行。源码总共66万个英文单词,比整本英文版《战争与和平》还多12%。平均每行生产代码被重写了4.14次。我们在上面花了大功夫打磨。现在的代码是573个不同作者写的。历史上总共有1465个人给curl提交过代码并被合并。到现在我们已经发布了188个CVE。curl安装在超过两百亿个设备上。它能在110多种操作系统和28种CPU架构上跑。每一台智能手机、平板、汽车、电视、游戏机、服务器里都有它。
五个发现最后剩一个
报告说找到了五个确认的安全漏洞。我觉得确认这词用得有点好笑,AI自己拍胸脯说确认了。AI觉得它们确认了,但我们curl安全团队看法不太一样。
五个问题听起来不多,我们本来以为会有一长串。我和团队花了好几个小时仔细琢磨这五个,最后只剩下一个确认的漏洞。另外三个是误报,它们说的问题其实API文档里已经写明了不算漏洞。第四个我们觉得就是个普通bug,不构成安全威胁。
这一个确认的漏洞我们会给它一个低严重级别的CVE编号,计划在6月底随curl 8.21.0版本一起发布。这个漏洞没那么吓人,不会让人倒吸一口凉气。具体细节在发布前不能公开,大家得再等等。
Mythos报告里还提了不少它认为不是漏洞的bug,就像任何一个新代码分析器跑几十万行代码时都会发现的那样。这些bug我们一个一个在查,认同的就修掉。总共大约20个bug,描述解释得相当清楚。误报极少,我猜他们设了挺高的置信度门槛。因为这份报告,curl确实变得更好了。但按找到的问题数量算,以前那些AI工具带来的修复更多。这很正常,第一次跑的工具总能找到一大堆简单漏洞。一路修下来,新漏洞越来越难找。再说了,漏洞有大小,光比数量不公平。
没那么危险
我个人结论是,围绕这个模型的大肆炒作主要还是营销。我没看到证据表明它找问题的水平比之前的工具高出一大截。可能它是强一点,但没强到能对代码分析产生质变的那种程度。这只是一个代码库,也许它在别的方面表现更好。我只能说它在我们这找到了啥。
但还是很好用
但我要强调一下我之前说过的:AI代码分析器找安全缺陷的能力,比任何传统分析器都强得多。现在所有现代AI模型在这方面都不错。任何人只要有时间有点实验精神,都能找到安全问题。高质量混乱是真的。
任何还没用AI工具扫过源码的项目,用这代新工具一跑,大概率会发现海量漏洞、bug和潜在安全问题。Mythos能做到,其他工具也能。
项目不用AI代码分析器,就等于给攻击者留了时间和机会,让他们找到并利用你没发现的漏洞。
AI分析器有啥不一样
AI能发现注释和代码不一致的地方。它能检查那些我们没法跑分析器的平台和配置。它知道第三方库和它们API的细节,能检测出滥用或错误假设。它了解curl实现的协议细节,能质疑代码里违反或矛盾的地方。它特别擅长总结和解释漏洞,这活儿用老式分析器做起来又烦又难。它经常能生成针对发现问题的补丁,虽然这补丁通常不完美。
报告里更多细节
没发现任何内存安全漏洞。方法论说明:这次分析是手工驱动的,用了LLM子代理并行读文件,每个候选发现都在主会话里通过直接源码审查重新验证。CVE到变种狩猎的映射基于curl自己的vuln.json。没用到任何自动化SAST工具。
这个结果符合curl作为被fuzz测试和审核最多的C代码库之一的定位。防御基础设施基本上把通常会在这种规模代码库里出现的漏洞类别都给堵死了。
覆盖率现在包括:所有次要协议、所有文件解析器、所有TLS后端的验证路径、http/1/2/3、ftp全深度、mprintf、x509asn1、doh、所有认证机制、内容编码、连接复用、会话缓存、命令行工具、平台特定代码、CI构建供应链。
AI找到的都是已知类型的错误
注意,AI工具找到的是我们已经知道的那类错误,只是找到了新实例。我们还没见过任何AI报告那种全新类型的漏洞。它们不会重新发明漏洞分类学,但它们挖出的问题确实比以前的工具多得多。
还有更多漏洞等着被发现
这些绝对不是最后一批被找到的漏洞。就在我写这篇博客的时候,还有安全研究员在报告疑似问题。AI工具会继续改进,研究员也能找到新方法用提示词让现有AI找到更多漏洞。这事儿还没完。我希望我们能一次又一次地用Mythos和其他AI扫描curl,直到它们真的啥也找不着。
致谢
感谢Anthropic和Alpha Omega提供模型工具并为我们做扫描。也感谢那位帮我们做扫描的朋友。非常感谢!
感谢乘坐curl航班。这里从不无聊。