AI-модель Claude Mythos не продемонстрировала особых достижений при поиске уязвимостей в Curl

12.05.2026 12:20 (MSK)

Дэниел Cтенберг (Daniel Stenberg), автор утилиты для получения и отправки данных по сети curl, подвёл итог применения AI-модели Claude Mythos для анализа уязвимостей в кодовой базе Curl. По мнению Дэниела, анонсированные компанией Anthropic прорывные возможности AI-модели Claude Mythos в области поиска уязвимостей, из-за которых компания ограничила доступ к модели, являются скорее маркетинговым приувеличением, так как при проверке кода Curl модель не показала существенных преимуществ по сравнению с AI-продуктами от других производителей.

При этом Дэниел признал значительное повышение качества работы современных AI-анализаторов кода, которые превосходят традиционные статические анализаторы, умеют выявлять несоответствие кода описанию из комментариев, исследовать проблемы в сторонних зависимостях, учитывать специфику протоколов и предлагать исправления.

Анализ 176 тысяч строк кода Curl при помощи Claude Mythos выявил наличие 5 уязвимостей, которые были помечены в отчёте как "подтверждённые уязвимости". Ручная проверка показала, что только одна из 5 проблем приводит к уязвимости, а 4 проблемы не являются уязвимостями (три проблемы вызваны ложными срабатываниями, а одна представляет собой не связанную с безопасностью ошибку). Найденная уязвимость не связана с работой с памятью, имеет низкий уровень опасности и будет устранена в конце июня в выпуске Curl 8.21.0.

До этого за последние 8-10 месяцев код Curl проверялся при помощи AI-сервисов AISLE, Zeropath и OpenAI Codex Security, что позволило исправить 200-300 ошибок, из которых 12 были уязвимостями. Кроме того, проверки через AI выполнялись независимыми энтузиастами, присылающими отчёты об уязвимостях, выявленных при помощи AI. Всего в этом году в Curl было выявлено около 60 уязвимостей. После этих проверок модель Mythos выявила одну новую незначительную уязвимость и около двадцати мелких ошибок. Ошибки были качественно описаны AI-моделью и найдены практически без ложных срабатываний.

Тем временем, компания OpenAI представила инструментарий Daybreak на базе AI модели GPT-5.5 и AI-агента Codex, предназначенный для поиска уязвимостей, анализа вредоносного кода и разработки исправлений. В качестве опции в Daybreak предложена AI-модель GPT-5.5-Cyber, в которой убраны некоторые ограничения в области создания экплоитов и проверки безопасности систем. Доступ к модели GPT-5.5-Cyber предоставляется только исследователям безопасности после выборочного одобрения заявок.

исправить +1 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/65428-curl

Ключевые слова: curl, ai

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (25)

1.1, Аноним (1), 13:28, 12/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
У меня появляется смутная надежда, что ИИ таки улучшит качество кода. Разгребет 100500 багов на которые все давно плюнули. Пару лет поколбасит, а потом - браузер что не течет, не падает и не тормозит. Ось в которой все просто работает. Документы что открываются везде и всюда в одном и том же виде. Прикладухи что делают то что от них ожидается и так как от них ожидается. И тут я проснулся.

2.2, 12yoexpert (ok), 13:30, 12/05/2026 [^] [^^] [^^^] [ответить]	–2 +/–
> У меня появляется смутная надежда ты попался на удочку маркетологов

3.6, НяшМяш (ok), 13:43, 12/05/2026 [^] [^^] [^^^] [ответить]	+/–
Маркетологи врут в том, что уже сейчас всё идеально и можно пользоваться везде. Но в реальности прогресс инструментов очевиден. Какой-то год назад вот эти все чатгопоты даже в интернете искать не умели, потом их научили искать бред. А сейчас ему можно задать вполне конкретный вопрос, он понимает из какой области и идёт искать ответ. Я вот таким образом неожиданно узнал, что у майкрософтовского SSTP есть спецификация - на невинный вопрос как это устроено он пошёл сходил прямо в спеку и вывалил мне тонну интересной инфы.

3.11, Аноним (11), 13:49, 12/05/2026 Скрыто ботом-модератором [к модератору]	+/–

3.13, Аноним (11), 13:50, 12/05/2026 [^] [^^] [^^^] [ответить]	+/–
> не продемонстрировала особых достижений Функции CURL-а пока актуальны и их не требуется пока выявлять.

3.22, Аноним (22), 14:12, 12/05/2026 Скрыто ботом-модератором [к модератору]	+/–

1.3, Аноним (3), 13:33, 12/05/2026 [ответить] [﹢﹢﹢] [ · · · ]

+1 +/–

> По мнению Дэниела, анонсированные компанией Anthropic прорывные возможности AI-модели Claude Mythos в области поиска уязвимостей [...] являются скорее маркетинговым приувеличением, так как при проверке кода Curl модель не показала существенных преимуществ по сравнению с AI-продуктами от других производителей.

Эмм... А то, что в Curl просто мало уязвимостей - это Дэниэл не допускает? Ну, типа, большинство из них уже раньше закрыли.

Или здравый смысл не работает, когда речь идет о ИИ?

2.7, Аноним (7), 13:44, 12/05/2026 [^] [^^] [^^^] [ответить]	+4 +/–
Та ладно! Он же сишник и пишет libcurl/curl на Си. Как так нет уязвимостей, если софт написан на Си? Или когда адвокат вайбкодеров пытается объяснить почему Claude ничего не смог, то можно и сишников назвать хорошими программистами?

3.12, Аноним (3), 13:50, 12/05/2026 [^] [^^] [^^^] [ответить]	+/–
> Он же сишник и пишет libcurl/curl на Си. Как так нет уязвимостей, если софт написан на Си? Так он как бы и сам не это намекает, не? Он же не говорит "Claude не нашел дыр потому, что у нас их нет". Он говорит "Claude не нашел дыр, потому что он слабенький".

3.18, Аноним (3), 14:01, 12/05/2026 [^] [^^] [^^^] [ответить]	+/–
> когда адвокат вайбкодеров пытается объяснить почему Claude ничего не смог, Чел, почему Claude "не смог", объясняется прямым текстом в статье. Они на протяжении месяцев натравливали другие ИИ и в целом закрыли 60 дыр за год. А ПОСЛЕ запустили Claude и обнаружили, что он почти ничего не нашел! Абсолютно никакой логической и временной связи между этими двумя событиями Дэниэл, очевидно, не видит.

1.4, Аноним (4), 13:36, 12/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
>что позволило исправить 200-300 ошибок Маркетинг такой маркетинг. Так 200 или 300?

2.21, Аноним (3), 14:08, 12/05/2026 [^] [^^] [^^^] [ответить]	+/–
>> что позволило исправить 200-300 ошибок > Так 200 или 300? А это и не важно. Главное, что ПОСЛЕ этого Claude ничего не нашел - а значит, по логике автора Curl, он ни на что не годен.

1.5, Хру (?), 13:42, 12/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Так что же получается - культура разработки на Си - возможна??? И дело значить не в кривом языке, а в немотивированных программистах, хреновой алгоритмической подготовке и нежелании пользоваться современными инструментами?

2.8, НяшМяш (ok), 13:45, 12/05/2026 [^] [^^] [^^^] [ответить]	+/–
Просто Дэниел Стенберг не настоящий сишник - инструментами какими-то пользуется. Ещё скажите у него компьютер современный. Настоящий сишник кодит на своём коредвадуо в терминале без подсветки синтаксиса.

3.19, Аноним на удаленке (?), 14:05, 12/05/2026 [^] [^^] [^^^] [ответить]	+/–
Знавал я такого. Только он асемблеревщик и к Си у него отношение как к чему то слишком уж разжеванному, для дураков. И работает он на Windiws XP. Вот вот в 2020 году пересел на неё с 98 виндоус. Человек работает в компании и ей он нужен. Его немного пайтон развратил так что он на ассемблер не хотел смотреть, но потом все же освоил работу на трез языках. ))). И да он не пенсионер. Ему что-то около 40 было тогда.

2.9, Аноним (3), 13:46, 12/05/2026 [^] [^^] [^^^] [ответить]	+/–
> Си > пользоваться современными инструментами Это взаимоисключающие понятия.

3.10, Хру (?), 13:48, 12/05/2026 [^] [^^] [^^^] [ответить]	+/–
Эт почему? Нельзя в 2026 году написать современный инструмент на С89? :)

4.14, Аноним (3), 13:53, 12/05/2026 [^] [^^] [^^^] [ответить]

+/–

> Эт почему?

Это потому, что посмотри на год его создания и, самое главное, как сильно он с тех пор развился.

> Нельзя в 2026 году написать современный инструмент на С89? :)

Ты говорил о "пользоваться". Написать-то и на brainfuck можно при желании.

5.23, Аноним на удаленке (?), 14:15, 12/05/2026 Скрыто ботом-модератором [к модератору]	+/–

5.24, Аноним на удаленке (?), 14:15, 12/05/2026 Скрыто ботом-модератором [к модератору]	+/–

5.25, Аноним на удаленке (?), 14:16, 12/05/2026 Скрыто ботом-модератором [к модератору]	+/–

1.15, q (ok), 13:53, 12/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Тысячи глаз на протяжение десятилетий: находили уязвимости в curl. Аффтар curl: исправлял, вылизывал код на протяжение десятилетий. Claude Mythos: находит еще одну уязвимость, которую тысячи глаз проморгали. Аффтар curl: "Чет как-то не впечатлился... Это все обман чтобы набрать классы..."

2.20, Аноним (3), 14:05, 12/05/2026 [^] [^^] [^^^] [ответить]	–1 +/–
> Аффтар curl: "Чет как-то не впечатлился... Это все обман чтобы набрать классы..." В англоязычных инетах тоже выпали с этой логики автора Curl. Похоже, у некоторых людей здравый смысл просто отключается, когда речь заходит об ИИ.

1.16, Аноним (16), 13:55, 12/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Доступ к модели GPT-5.5-Cyber предоставляется только исследователям безопасности после выборочного одобрения заявок. Хм.. поиграются с уязвимостямт предлагают только своим :)

1.17, Аноним (16), 13:55, 12/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Доступ к модели GPT-5.5-Cyber предоставляется только исследователям безопасности после выборочного одобрения заявок. Хм.. поиграются с уязвимостями предлагают только своим :)

игнорирование участников | лог модерирования

Добавить комментарий

Текст: