A fine aprile 2026 Anthropic ha causato un gran rumore dei media quando hanno concluso che il loro nuovo modello di intelligenza artificiale Mythos è pericolosamente buono nel trovare difetti di sicurezza nei codici sorgenti. Apparentemente Mythos era così bravo in questo che Anthropic non avrebbe rilasciato questo modello al pubblico ancora, ma invece lo avrebbe distribuito a pochi selezionati aziende per un po' di tempo per permettere a pochi buoni di avere un vantaggio e risolvere i problemi più urgenti prima che la popolazione generale lo avesse in mano.
Tutto il mondo sembrava aver perso la testa. È questo la fine del mondo come lo conosciamo? Un marketing di successo incredibile.
La mia (non-) accesso
Parte del accordo con il progetto Glasswing era che Anthropic offrisse l'accesso al loro ultimo modello di intelligenza artificiale anche ai "progetti Open Source" tramite Linux Foundation. Linux Foundation ha lasciato che il loro progetto Alpha Omega si occupasse di questo, e sono stato contattato dai loro rappresentanti. Come sviluppatore principale di curl ho ricevuto l'accesso al modello magico e ho accettato con gratitudine. Sì, vorrei vedere cosa può trovare in curl.
Ho firmato il contratto per ottenere l'accesso, ma poi nulla è successo. Sono passate settimane e sono stato informato che c'era un intoppo da qualche parte e l'accesso era ritardato.
Infine, sono stato offerto che qualcun altro, che ha accesso al modello, potesse eseguire uno scan e un'analisi su curl per me utilizzando Mythos e inviarmi un rapporto. Per me, la distinzione non è importante. Non avrei molto tempo per esplorare molti diversi prompt e fare avventure in profondità comunque. Ottenere l'strumento per generare uno scan e un'analisi propri sarebbe fantastico, chiunque lo facesse. Ho accettato con piacere questa offerta.
(L'ho fatto apposta di non rivelare l'identità degli individui coinvolti nell'analisi del curl come non è il punto di questo post del blog.)
Analisi AI di curl
Prima di questo primo rapporto di Mythos, avevamo già esaminato curl con diversi strumenti potenziati da AI molto capaci (intendo in aggiunta a eseguire un gran numero di "normali" analizzatori di codice statici tutto il tempo, utilizzando le opzioni del compilatore più severe e facendo fuzzing su di esso per anni ecc). Primariamente AISLE, Zeropath e OpenAI’s Codex Security sono stati utilizzati per esaminare il codice con AI. Questi strumenti e le analisi che hanno fatto hanno attivato tra 200 e 300 bugfixes inseriti in curl in questi ultimi 8-10 mesi o poco più. Un po' di questi risultati questi strumenti di AI hanno segnalato sono state confermate vulnerabilità e sono state pubblicate come CVEs. Probabilmente una dozzina o più.
Oggi utilizziamo anche strumenti come GitHub’s Copilot e Augment code per esaminare le richieste di pull, e i loro commenti e le loro lamentele ci aiutano a inserire codice migliore e a evitare di inserire nuovi bug. Intendo, inseriamo ancora bug, ma i bot di revisione PR ci aiutano regolarmente a risolvere problemi: le nostre inserzioni sarebbero peggiori senza di loro. Le analisi AI sono utilizzate in aggiunta alle revisioni umane. Ci aiutano, non ci sostituiscono.
Vediamo anche un gran volume di rapporti di sicurezza di alta qualità che affluiscono: gli esperti di sicurezza ora utilizzano AI estensivamente e efficacemente.
La sicurezza è una priorità per noi nel progetto curl. Seguiamo ogni linea guida e facciamo ingegneria software correttamente, per ridurre il numero di difetti nel codice. Scansionare per difetti è solo uno dei molti passaggi per tenere questo vascello al sicuro. Dovresti cercare a lungo e duramente per trovare un altro progetto software che faccia altrettanto o vada più in là del curl, per la sicurezza del software.
Passaggi coinvolti nel mantenimento della sicurezza del curl
6 maggio 2026
Era con grande anticipo che abbiamo ricevuto il primo rapporto di analisi del codice sorgente generato con Mythos. Un’altra possibilità per noi di trovare aree da migliorare e bug da risolvere. Per fare un curl ancora migliore.
Questa prima analisi è stata eseguita sul repository Git di curl e sulla sua branca master di un certo commit recente. Ha contato 178K linee di codice analizzate nelle directory src/ e lib/.
L'analisi dettaglia diversi approcci e metodi che ha eseguito la ricerca, e come ha focalizzato l'attenzione su cercare di trovare vulnerabilità nel codice.
Commenti (0)
Accedi o Registrati per candidarti