Daniel Stenberg, lead developer curlu, popisuje výsledek skenu Anthropicova modelu Mythos, toho, kolem kterého Anthropic v dubnu vyvolal rozruch tvrzením, že je „nebezpečně dobrý“ v hledání bezpečnostních chyb. Přístup curl dostal přes program Glasswing a Linux Foundation / Alpha Omega.

Výsledek: sken nad 178 000 řádky kódu ohlásil 5 „potvrzených zranitelností“. Po prověření security týmem zbyla jedna – tři false positives a jeden „jen bug“. Ta jediná dostane CVE s nízkou závažností v curl 8.21.0. Plus asi 20 popsaných drobných bugů.

Stenbergův závěr: hype byl hlavně marketing. Před Mythosem curl už skenovaly AISLE, Zeropath i OpenAI Codex Security a dohromady vedly k 200–300 fixům a desítkám CVE za posledních 8–10 měsíců. Mythos není výrazně lepší.

Širší pointa ale zůstává: AI scannery obecně jsou výrazně lepší než tradiční statické analyzéry a každý projekt, který je ještě nepoužil, na nich pravděpodobně najde hromadu chyb. Nepřinášejí ale nové třídy zranitelností, jen nové instance těch známých.

Zdroj: https://daniel.haxx.se/blog/2026/05/11/mythos-finds-a-curl-vulnerability/