Mythos高调亮相扫描结果却令人意外近期Anthropic推出的AI安全分析模型Mythos引发广泛关注该公司宣称其在发现源代码安全漏洞方面表现出色甚至因此暂缓公开发布。然而当Mythos扫描全球最广泛使用的开源命令行HTTP工具curl时在17.6万行代码中仅确认发现1个低危漏洞这一结果与之前的高调宣传形成鲜明对比。从“危险级AI”到“营销噱头”今年4月Anthropic宣布Mythos“危险地擅长”发现源代码安全漏洞通过“Project Glasswing”项目向部分公司和开源项目有限开放。这一表态在业界引发轩然大波被视为“成功的营销噱头”。curl项目创始人Daniel Stenberg通过Linux基金会的Alpha Omega项目获得了Mythos的扫描机会。17.6万行代码的“严苛测试”curl代码库堪称C语言安全工程的标杆代码规模达17.6万行生产代码平均每行代码被重写4.14次有573位独立作者参与当前代码累计1465人贡献过代码已发布188个CVE漏洞公告还长期接受多种测试和审计。Mythos扫描了curl源码库的关键模块覆盖所有主要协议等。结果5个“确认漏洞”缩水为1个低危问题Mythos报告最初声称发现了“5个已确认的安全漏洞”但curl安全团队深入审查后3个是误报1个是普通bug最终仅1个确认为低危CVE计划随curl 8.21.0版本同步公开。AI安全工具的真实表现与局限curl项目此前已使用多款AI安全工具帮助修复了200 - 300个bug确认的漏洞已发布为十余个CVE。Mythos在报告中也指出在curl热门路径中发现问题几乎不可能。AI代码分析工具相比传统静态分析器有显著优势但目前发现的仍是已知类型的错误尚未报告过全新类型的漏洞。编辑观点Mythos的表现未达预期虽AI代码分析有优势但目前难称“银弹”更多是辅助工具安全工程实践仍至关重要。