文章总结： Anthropic公司发布的MythosAI模型在curl代码库漏洞检测中实际效果与宣传存在显著差距。该模型扫描17.6万行代码后宣称发现5个安全漏洞，但经curl创始人核实仅1个为真实低危漏洞，其余为误报或普通bug。尽管Mythos在Firefox中展现出检测效率优势，但其在高度审计的代码库中未展现革命性能力，表明AI漏洞检测工具具备实用价值但当前宣传存在夸大成分。 综合评分： 72 文章分类： 漏洞分析,AI安全,代码审计,安全工具,漏洞预警

号称全球最“危险”的AI，Anthropic Mythos实测curl仅找到一个真实漏洞

FreeBuf

2026年5月13日 19:03 上海

在小说阅读器读本章

去阅读

今年四月，Anthropic公司高调发布新型AI模型Mythos，宣称其代码漏洞检测能力”危险地强大”。出于安全考虑，该公司决定暂不向公众开放，仅向少数大型机构提供访问权限，使其能优先修复关键漏洞。

业界对此反应强烈，传闻该模型能在数周内发现数千个0Day漏洞，引发对软件安全现状的质疑。这一话题迅速成为科技圈热点。

curl创始人Daniel Stenberg通过Linux基金会的Alpha Omega项目，间接获得了Mythos对curl代码库的分析报告。结果显示，该模型扫描了17.6万行C代码后，自信地宣称发现五个”已确认安全漏洞”。

Stenberg指出：”curl代码量相当于《战争与和平》英文版的1.12倍。AI单方面宣称漏洞’已确认’的说法颇具趣味性。经团队数小时核查，五个问题中仅一个真实漏洞，其余三个是API文档已注明的误报，第四个仅为普通bug。”

Part01

实际效果与宣传存在落差

最终确认的低危漏洞计划在curl 8.21.0版本中修复。Stenberg认为围绕Mythos的炒作更像营销行为：”现有证据表明，该模型在发现问题方面并未展现出超越既有工具的特殊优势。”

curl作为全球使用最广泛的数据传输库（部署量超200亿），其代码库经过OSS-Fuzz、Coverity等多轮审计。在Mythos之前，Zeropath等AI工具已发现200-300个缺陷，包括十余个CVE漏洞。Mythos的检测时机较晚，覆盖范围有限。

Part02

技术价值在于检测效率

Mozilla案例显示，Mythos在Firefox中发现270余个漏洞，其价值主要体现在检测速度——缩短了漏洞发现与修复的时间窗口。但Mozilla强调，这些漏洞同样能被顶尖人工审计发现。

Stenberg肯定AI代码分析工具的进步：”新一代AI工具在检测源代码安全缺陷方面显著优于传统分析器。”但他指出，至少对curl而言，Mythos尚未展现出实质性突破。

由于Stenberg仅通过第三方报告评估Mythos，其结论存在局限性。虽然该AI在高度审计的curl代码中仅发现一个低危漏洞，但这既不能证实行业炒作，也不应全盘否定技术潜力。当前测试表明，AI漏洞研究具备实用价值，但所谓”革命性能力”的宣称仍显夸大。

Stenberg总结道：”任何尚未使用AI工具扫描源代码的项目，都可能通过新一代工具发现大量缺陷。”

参考来源：

The world’s most “Dangerous” AI, Anthropic’s Mythos, found only one flaw in curl

The world’s most “Dangerous” AI, Anthropic’s Mythos, found only one flaw in curl

推荐阅读

电报讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《号称全球最“危险”的AI，Anthropic Mythos实测curl仅找到一个真实漏洞》