近日,Anthropic公司備受矚目的AI安全分析模型Mythos,在開源界遭遇了一場意料之外的“滑鐵盧”。儘管官方曾大肆宣傳該模型在發現源代碼漏洞方面能力過於強悍,甚至爲此推遲了公開發布,但在對全球知名開源工具curl的實測中,Mythos交出的答卷卻顯得有些蒼白:在多達17. 6 萬行代碼的嚴密掃描下,最終僅確認了一個低危漏洞。

這場測試的推動者是curl項目的創始人Daniel Stenberg。他通過相關項目獲得了Mythos的有限測試權限,試圖給這個擁有 200 億次安裝量的網絡傳輸利器做一次深度“體檢”。curl的代碼庫一向以極高的安全工程標準著稱,不僅經過了數百位貢獻者的精心打磨,更長期接受各類自動化掃描及高昂的專業審計。

測試過程起初看起來碩果累累。Mythos的初始報告宣稱發現了“ 5 個已確認的安全漏洞”,但經過curl安全團隊數小時的人工複覈,這些結果迅速縮水:其中 3 個被判定爲誤報,僅是符合文檔描述的正常行爲; 1 個被定性爲普通bug,不具備安全威脅。最終,僅剩下 1 個嚴重程度被評爲“低”的漏洞。

對於這樣的結果,Stenberg直言不諱地指出,Anthropic所謂的“危險級能力”更像是一場成功的市場營銷。他表示,早在Mythos之前,curl團隊就已經利用多款AI安全工具修復了數百個bug,而第一批工具往往更容易撿到“低垂的果實”。隨着代碼庫的日益完善,AI想要挖掘出深層的新型漏洞已變得難上加難。

不過,Stenberg並未全盤否定AI的價值。他承認,相比於傳統的靜態分析器,像Mythos這樣的AI工具在理解協議規範、識別註釋與代碼不符、以及模擬複雜環境下的配置檢查方面具有顯著優勢。它們更像是一個博學且擅長總結的助手,儘管給出的修復方案並不總是百分之百正確。

此次實測給業界敲響了警鐘:AI雖然在代碼審計領域帶來了效率的質變,但目前依然只能發現“已知類型”的錯誤實例,而非創造全新的漏洞檢測邏輯。在保障核心安全方面,嚴謹的安全工程實踐——如防禦性基礎設施的構建和嚴格的數值上限限制,依然是比AI工具更可靠的“銀彈”。