今年四月,Anthropic公司高調發表新型AI模型Mythos,宣稱其偵測程式碼漏洞的能力「危險地強大」。出於安全考量,該公司決定暫不向公眾開放,僅向少數大型機構提供存取權限,讓他們能優先修補關鍵漏洞。
業界對此反應強烈,傳聞該模型能在數週內發現數千個零時差漏洞,引發對軟體安全現狀的質疑。這個話題迅速成為科技圈的熱點。
curl創辦人Daniel Stenberg透過Linux基金會的Alpha Omega專案,間接取得了Mythos對curl程式碼庫的分析報告。結果顯示,該模型掃描了17.6萬行C語言程式碼後,自信地宣稱發現五個「已確認安全漏洞」。
Stenberg指出:「curl的程式碼量相當於《戰爭與和平》英文版的1.12倍。AI單方面宣稱漏洞『已確認』的說法頗具趣味性。經團隊數小時核查,五個問題中僅一個是真實漏洞,其餘三個是API文件已註明的誤報,第四個僅為普通bug。」
實際效果與宣傳存在落差
最終確認的低風險漏洞,計畫在curl 8.21.0版本中修復。Stenberg認為,圍繞Mythos的炒作更像行銷行為:「現有證據表明,該模型在發現問題方面,並未展現出超越既有工具的特殊優勢。」
curl作為全球使用最廣泛的資料傳輸函式庫(部署量超過200億),其程式碼庫經過OSS-Fuzz、Coverity等多輪審計。在Mythos之前,Zeropath等AI工具已發現200至300個缺陷,包括十餘個CVE漏洞。Mythos的檢測時機較晚,涵蓋範圍有限。
技術價值在於檢測效率
Mozilla的案例顯示,Mythos在Firefox中發現270餘個漏洞,其價值主要體現在檢測速度——縮短了漏洞發現與修復之間的時間窗口。但Mozilla強調,這些漏洞同樣能被頂尖的人工審計團隊發現。
Stenberg肯定AI程式碼分析工具的進步:「新一代AI工具在檢測原始碼安全缺陷方面,顯著優於傳統分析器。」但他指出,至少對curl而言,Mythos尚未展現出實質性的突破。
由於Stenberg僅透過第三方報告評估Mythos,其結論存在侷限性。雖然該AI在經過高度審計的curl程式碼中僅發現一個低風險漏洞,但這既不能證實產業炒作,也不應全盤否定其技術潛力。當前測試表明,AI漏洞研究具備實用價值,但所謂「革命性能力」的宣稱仍顯誇大。
Stenberg總結道:「任何尚未使用AI工具掃描原始碼的專案,都可能透過新一代工具發現大量缺陷。」
參考來源:
The world’s most “Dangerous” AI, Anthropic’s Mythos, found only one flaw in curl
推薦閱讀