×

curl 开发者质疑 Anthropic 漏洞发现 AI「Claude Mythos」:更像一次营销炒作

AI 2026-05-19 Anthropic, Claude Mythos, curl, 软件安全, AI代码审计 16 次浏览

richlovec 1500_400 (1)
 

美国 AI 企业 Anthropic 近日发布了号称具备强大漏洞发现能力的模型「Claude Mythos Preview」。不过,这一模型在实际测试中的表现,引发了知名开源项目 curl 作者 Daniel Stenberg 的公开质疑。

Stenberg 在 2026 年 5 月 11 日(当地时间)于个人博客撰文指出,Claude Mythos 在一次针对 curl 的安全扫描中,报告了 5 项「已确认的安全漏洞」,但 curl 安全团队最终只认定其中 1 项属于真正的安全漏洞。他认为,围绕 Claude Mythos 的巨大关注度「更多是一种营销策略」。

Anthropic 推出漏洞发现 AI「Claude Mythos」,仅向合作方开放

2026 年 4 月 7 日,Anthropic 宣布启动「Project Glasswing」计划,旨在利用 AI 帮助发现和修复关键软件中的安全漏洞。该计划的首批合作伙伴阵容强大,包括 AWS、Apple、Cisco、CrowdStrike、Google、Linux Foundation、Microsoft、NVIDIA、Palo Alto Networks 等。

在这一计划中,Anthropic 提供了新一代前沿模型「Claude Mythos Preview」,专门用于防御侧的安全分析工作。Anthropic 对外宣称,该模型在发现和利用软件漏洞方面的能力,已经超过部分资深安全研究人员,并表示其已在包括主流操作系统和主流 Web 浏览器在内的重要基础设施中,发现了数千个零日漏洞。

不过,Claude Mythos Preview 并不会面向公众开放,而是仅提供给 Project Glasswing 的参与方使用。Anthropic 的设想是:在攻击方大规模掌握类似 AI 能力之前,先让防御方借助 AI 抢先发现并修补漏洞。

curl 作者复核 Claude Mythos 报告:5 个「确认漏洞」只剩 1 个

作为 Project Glasswing 的一部分,curl 项目接受了 Claude Mythos Preview 的代码分析。curl 作者 Daniel Stenberg 原本计划亲自获得模型访问权限并进行测试,但最终改为由一位拥有访问权限的第三方负责运行扫描和分析,再将报告结果发给他和 curl 安全团队。

curl-secured-for-the-billions3.jpg

本次分析的对象是 curl Git 仓库 master 分支中的代码,范围包括 src 和 lib 目录,合计约 17.8 万行代码。

根据 Stenberg 的介绍,Claude Mythos 的报告中,将 5 项问题标记为「已确认的安全漏洞」。然而,在他与 curl 安全团队逐条核查后,最终只有 1 项被认定为真正的安全漏洞。

其余 4 项中,有 3 项实际上是 curl API 文档中已经明确说明的「设计限制」或「使用约束」,并不构成安全漏洞;另 1 项则被归类为普通软件缺陷,而非安全问题。

对于唯一确认的漏洞,curl 计划将其作为低危级别的 CVE 进行披露,预计会在 2026 年 6 月下旬随 curl 8.21.0 版本发布时公开详细信息。

「并未比其他 AI 工具找到更多问题」

Stenberg 认可 Claude Mythos 在一定程度上帮助改进了 curl 代码质量。除了那 1 个真正的安全漏洞外,报告中还包含了约 20 个普通 bug,说明也相对清晰易懂。

但他同时强调,从 curl 的经验来看,并没有证据表明 Claude Mythos 在发现问题的数量或质量上,明显优于其他 AI 工具。

在此次测试之前,curl 已经多次使用 AISLE、Zeropath、OpenAI 的 Codex Security 等多种 AI 驱动的代码分析工具,对项目进行安全审查。据 Stenberg 统计,在过去 8~10 个月中,这些工具合计促成了 200~300 个 bug 的修复,其中有十几个以上最终被登记为 CVE。

在他看来,Claude Mythos 或许在某些方面略有优势,但远未达到 Anthropic 宣传中那种「显著领先」的程度。至少就这次 curl 的分析结果而言,实际效果与官方对外营造的强烈印象存在明显温差。

AI 代码审计价值被肯定,但仍需人工把关

需要强调的是,Stenberg 并未否定 AI 在代码安全分析中的整体价值。相反,他认为,相比传统的静态分析工具,AI 驱动的代码分析在发现安全隐患和逻辑错误方面,已经展现出明显优势。

在 curl 项目中,AI 工具被定位为「辅助审查」而非「替代人工」。在日常的 Pull Request 审查和代码评审中,团队会使用 GitHub Copilot、Augment Code 等工具,让其提出潜在问题或改进建议,从而降低 bug 混入主干代码的概率。

这次对 Claude Mythos 的复盘,更像是对当前 AI 安全工具使用方式的一次提醒:即便模型将某些问题标记为「已确认漏洞」,是否真正构成安全风险,仍然必须由项目维护者和安全团队进行人工验证。

Stenberg 对 Claude Mythos 的态度,折射出一个更广泛的行业共识:评估 AI 在安全领域的实际贡献时,不能只看「发现了多少漏洞」或厂商的宣传话术,而应关注其中有多少最终被证实、修复并公开披露。这些经过验证的结果,才是衡量 AI 安全能力的关键指标。


分享:


发表评论

登录后才可评论。 去登录

标签云

人气上升榜