V dubnu společnost Anthropic vzbudila značný rozruch oznámením modelu Mythos, nového modelu umělé inteligence, který je podle popisu tak účinný při odhalování zranitelností v kódu, že je prý až „nebezpečně schopný“. Společnost se rozhodla nenabídnout model široké veřejnosti, ale poskytla přístup pouze úzké skupině významných organizací, aby jim dala čas na opravu nejzávažnějších chyb ještě předtím, než se model dostane ven.
Jedním z prověřovaných projektů byl také Curl, což je sada nástrojů pro přenos dat, která se dnes nachází na miliardách zařízení. Zdrojové kódy mají 176 tisíc řádek kódu v jazyce C a Mythos tvrdí, že v nich našel pět potvrzených bezpečnostních chyb. Potvrzených ovšem samotným strojem, jenže vývojáři projektu to vidí jinak.
Po detailním prozkoumání tohoto krátkého seznamu došli ke zjištění, že čtyři z nahlášených chyb jsou ve skutečnosti falešně pozitivní výsledky. Tři z nich odhalují nedostatky, které jsou popsány v dokumentaci k API. Čtvrté hlášení zaznamenalo běžnou chybu, která ale nemá dopad na bezpečnost.
Zůstala pouze jedna skutečná bezpečnostní chyba, která byla klasifikována jako chyba s nízkou závažností a jejíž oprava měla být zahrnuta do verze curl 8.21.0 koncem června. Report dále obsahoval řádku dalších hlášení o běžných chybách bez dopadu na bezpečnost. Ty vývojáři postupně procházejí a opravují.
Daniel Stenberg, zakladatel projektu Curl, nevnímá nový model jako zvlášť dobrý nebo nebezpečný. Dosavadní velký rozruch kolem tohoto modelu byl především marketingovým tahem. Nevidím žádný důkaz toho, že by model odhaloval problémy v nějak výrazně větší míře než nástroje, které existovaly před Mythosem. Možná je tento model o něco lepší, ale i kdyby tomu tak bylo, nejde o tak výrazné zlepšení, které by mělo zásadní dopad na analýzu kódu.
