«Маркетинговый хайп»: из пяти уязвимостей Mythos в curl подтвердилась одна

Дэниел Стенберг, лид и основной разработчик проекта curl, опубликовал разбор результатов сканирования кода библиотеки моделью Mythos от Anthropic в рамках Project Glasswing. Из пяти "подтвержденных уязвимостей", о которых отчиталась схема, после проверки силами команды безопасности проекта осталась одна — низкого уровня важности, она выйдет CVE наряду с curl 8.21.0 в конце июня. Свой основной вывод Стенберг сформулировал прямо: "хайп вокруг этой модели главным образом маркетинговый".

В апреле Anthropic представила Mythos как модель, которая "опасно хороша" в поиске уязвимостей в коде — настолько, что в открытый доступ ее решили не выпускать, а раздать партнерам по программе Project Glasswing: AWS, Apple, Google, Microsoft, NVIDIA, Linux Foundation и еще нескольким десяткам организаций. Заявленные результаты выглядели сногсшибательно: тысячи zero-day-уязвимостей во всех мажорных операционных системах и браузерах, 72% успешных эксплойтов на внутренних бенчмарках против менее 1% у предыдущей Claude Opus 4.6. Команда Firefox за апрель отчиталась о 271 найденной уязвимости, закрыв за месяц больше дыр, чем за весь 2025 год, и большую часть нашла именно Mythos.

Стенберг как ведущий разработчик одного из самых распространенных open-source-проектов в мире — curl стоит приблизительно на 20 миллиардах устройств, от смартфонов до автомобилей и серверов — получил приглашение от Linux Foundation через ее подразделение Alpha Omega. Контракт он подписал, но самого доступа к модели так и не дождался: сначала случилась "техническая заминка", а потом ему предложили вариант с третьей стороной — кто-то из других участников программы запустит сканирование и пришлет готовый отчет. Стенберг согласился. Аналитика покрыл 178 тысяч строк C-кода библиотеки.

Дальше начинается несовпадение с маркетинговым нарративом. Схема отрапортовала о пяти "подтвержденных уязвимостях". После разбора силами команды безопасности curl три из них оказались false positive — описанием поведения программный оболочку, прямо задокументированном в документации; четвертый случай команда классифицировала как "просто баг", а единственной реальной уязвимостью стала CVE низкой важности, которую выпустят синхронно с curl 8.21.0 в конце июня. В горячих путях кода — HTTP/1, TLS, парсинге URL — Mythos не нашла ничего, как сама же модель и предсказала во вступлении к отчету. Плюсом к этому в отчете описаны еще около двадцати багов без статуса уязвимости — их разбирают по одному и часть фиксят. Для сравнения: другие AI-сканеры, через которые curl прогоняли раньше — AISLE, Zeropath и OpenAI Codex Security — за 8–10 месяцев суммарно дали проекту 200–300 багфиксов и больше дюжины CVE.

Вывод самого Стенберга получился двойственным. Во-первых: "я не вижу свидетельств того, что эта связка находит проблемы на каком-то существенно более высоком или продвинутом уровне, чем другие ИИ-инструменты, существовавшие до Mythos". С иной — AI-сканеры в общем и целом он считает серьезным скачком по сравнению с классических статических анализаторов и отдельно подчеркивает: любой проект, который еще не прогонял свой код через актуальный ИИ-инструмент, найдет там кучу проблем. Не пользоваться такими сканерами, по его словам, — значит оставлять атакующим время и возможность найти и проэксплуатировать то, что не найдешь сам.

Главное во всей истории — разрыв между двумя публичными отзывами на одну и ту же модель. Mozilla отчиталась о 271 уязвимости в Firefox за месяц работы с Mythos, curl — об одной CVE низкого уровня важности. Оба проекта зрелые, оба — критическая инфраструктура, у обоих есть собственные процессы безопасности. Возможно, реальная отдача от Mythos сильно зависит от того, насколько исходник был причесан до знакомства с моделью — но маркетинговая упаковка Anthropic эту нюансировку стирает. И когда первый открытый отзыв от ведущего разработчика крупного open-source-проекта выглядит именно так, нарратив "слишком опасной для паблика модели" начинает заметно проседать.

P.S. Поддержать меня можно подпиской на канал "сбежавшая нейросеть", где я рассказываю про ИИ с творческой стороны.