Дэниел Стенберг, лид и основной разработчик проекта curl, опубликовал разбор результатов сканирования кода библиотеки моделью Mythos от Anthropic в рамках Project Glasswing. Из пяти «подтвержденных уязвимостей», о которых отчиталась модель, после проверки силами команды безопасности проекта осталась одна — низкого уровня важности, она выйдет CVE вместе с curl 8.21.0 в конце июня. Свой главный вывод Стенберг сформулировал прямо: «хайп вокруг этой модели в основном маркетинговый».
В апреле Anthropic представила Mythos как модель, которая «опасно хороша» в поиске уязвимостей в коде — настолько, что в открытый доступ ее решили не выпускать, а раздать партнерам по программе Project Glasswing: AWS, Apple, Google, Microsoft, NVIDIA, Linux Foundation и еще нескольким десяткам организаций. Заявленные результаты выглядели сногсшибательно: тысячи zero-day-уязвимостей во всех мажорных операционных системах и браузерах, 72% успешных эксплойтов на внутренних бенчмарках против менее 1% у предыдущей Claude Opus 4.6. Команда Firefox за апрель отчиталась о 271 найденной уязвимости, закрыв за месяц больше дыр, чем за весь 2025 год, и большую часть нашла именно Mythos.
Стенберг как ведущий разработчик одного из самых распространенных open-source-проектов в мире — curl стоит примерно на 20 миллиардах устройств, от смартфонов до автомобилей и серверов — получил приглашение от Linux Foundation через ее подразделение Alpha Omega. Контракт он подписал, но самого доступа к модели так и не дождался: сначала случилась «техническая заминка», а потом ему предложили вариант с третьей стороной — кто-то из других участников программы запустит сканирование и пришлет готовый отчет. Стенберг согласился. Анализ покрыл 178 тысяч строк C-кода библиотеки.
Дальше начинается несовпадение с маркетинговым нарративом. Модель отрапортовала о пяти «подтвержденных уязвимостях». После разбора силами команды безопасности curl три из них оказались false positive — описанием поведения API, прямо задокументированном в документации; четвертый случай команда классифицировала как «просто баг», а единственной реальной уязвимостью стала CVE низкой важности, которую выпустят синхронно с curl 8.21.0 в конце июня. В горячих путях кода — HTTP/1, TLS, парсинге URL — Mythos не нашла ничего, как сама же модель и предсказала во вступлении к отчету. Плюсом к этому в отчете описаны еще около двадцати багов без статуса уязвимости — их разбирают по одному и часть фиксят. Для сравнения: другие AI-сканеры, через которые curl прогоняли раньше — AISLE, Zeropath и OpenAI Codex Security — за 8–10 месяцев суммарно дали проекту 200–300 багфиксов и больше дюжины CVE.
Вывод самого Стенберга получился двойственным. С одной стороны: «я не вижу свидетельств того, что эта связка находит проблемы на каком-то существенно более высоком или продвинутом уровне, чем другие ИИ-инструменты, существовавшие до Mythos». С другой — AI-сканеры в целом он считает серьезным скачком относительно классических статических анализаторов и отдельно подчеркивает: любой проект, который еще не прогонял свой код через современный ИИ-инструмент, найдет там кучу проблем. Не пользоваться такими сканерами, по его словам, — значит оставлять атакующим время и возможность найти и проэксплуатировать то, что не найдешь сам.
Главное во всей истории — разрыв между двумя публичными отзывами на одну и ту же модель. Mozilla отчиталась о 271 уязвимости в Firefox за месяц работы с Mythos, curl — об одной CVE низкого уровня важности. Оба проекта зрелые, оба — критическая инфраструктура, у обоих есть собственные процессы безопасности. Возможно, реальная отдача от Mythos сильно зависит от того, насколько код был причесан до знакомства с моделью — но маркетинговая упаковка Anthropic эту нюансировку стирает. И когда первый публичный отзыв от ведущего разработчика крупного open-source-проекта выглядит именно так, нарратив «слишком опасной для паблика модели» начинает заметно проседать.
P.S. Поддержать меня можно подпиской на канал «сбежавшая нейросеть«, где я рассказываю про ИИ с творческой стороны.
ссылка на оригинал статьи https://habr.com/ru/articles/1033934/