Anthropic Mythos 实测结果出炉:curl 项目只找到1个漏洞,HN 645分热议营销噱头
curl 项目创始人 Daniel Stenberg 公布 Mythos AI 代码安全审查实测结果:扫描 178K 行 C 代码后仅确认 1 个低危漏洞,其余 4 个为误报。HN 热帖 645 分,引发对 AI 安全工具真实能力的深度讨论。
2026年5月12日 · 阅读约 6 分钟
核心结论
2026 年 5 月 11 日,curl 项目创始人 Daniel Stenberg 在其官方博客上公布了 Anthropic 安全 AI 模型 Mythos 对 curl 源代码的安全审查结果。这是 Mythos 在真实世界大型开源项目上的首次独立验证。
关键发现:
- Mythos 扫描了 178,000 行 C 代码(仅 src/ 和 lib/ 子目录),报告了 5 个"已确认"安全漏洞
- curl 安全团队审核后:1 个真漏洞(低危 CVE,计划 6 月底修复)、3 个误报、1 个重复报告
- 额外发现了约 20 个非安全性的代码缺陷,误报率极低
- Daniel 的结论:Mythos 的 hype > 实际效果,其他 AI 工具表现同样优秀,甚至找到更多问题
"Mythos 这个模型目前来看,主要还是营销上的成功。" — Daniel Stenberg,curl 项目创始人
这个案例对任何一个用 AI 做代码审计或安全自动化的团队都有直接参考价值。
事件背景:Mythos 的争议之路
2026 年 4 月,Anthropic 宣布推出安全 AI 模型 Mythos,声称该模型"危险地擅长"从源代码中发现安全漏洞,以至于 Anthropic 决定不公开发布,而是通过 Linux Foundation 的 Project Alpha Omega 向开源项目开放有限访问。
当时这篇声明引发了巨大的媒体轰动——很多人恐惧 AI 将大规模自动发现 0-day 漏洞。但同时也有人质疑这是 Anthropic 的一出营销大戏。
curl 项目被选中作为 Mythos 的首批实测对象。作为互联网基础设施级项目——curl 安装在超过 200 亿个实例中,运行在 110+ 操作系统和 28 种 CPU 架构上——它的安全性经过了最严格的多层审查。
Mythos 扫描 curl 的实际表现
扫描范围
| 指标 | 数值 |
|---|---|
| 扫描代码行数 | 178,000 行 C(src/ + lib/) |
| 发现"确认"漏洞 | 5 个 |
| 实际确认漏洞 | 1 个(低危) |
| 误报数 | 3 个 |
| 重复报告 | 1 个 |
| 其他代码缺陷 | ~20 个 |
| 报告误报率 | 极低(非安全缺陷) |
| 计划修复 | curl 8.21.0(2026 年 6 月底) |
Mythos 并未在热门路径找到漏洞
Mythos 报告本身有一段很有趣的注释:
"curl 是业内被模糊测试和审计最多的 C 代码库之一(OSS-Fuzz、Coverity、CodeQL、多次付费审计)。在 HTTP/1、TLS、URL 解析核心等热点路径找到问题的可能性很低。"
结果正如预期——Mythos 没有在 curl 的热点路径发现任何漏洞,发现的真漏洞属于非关键路径的低危问题。
对比:AI 安全工具的进化
Daniel 在博客中还透露了 curl 项目长期使用 AI 安全工具的经验:
| 工具 | 类型 | curl 实测效果 |
|---|---|---|
| AISLE | AI 代码分析 | 早期发现大量缺陷 |
| ZeroPath | AI 安全扫描 | 有效,持续使用 |
| GitHub Copilot | PR 审查 | 帮助避免合并新 bug |
| Augment Code | PR 审查 | 同样有效 |
| Mythos | 安全专用 AI | 1 个低危漏洞 + 20 个缺陷 |
| 传统工具(Coverity/CodeQL) | 静态分析 | 持续使用中 |
关键观察:首批 AI 工具总是找到最多问题,因为容易发现的问题已被逐一修复。随着代码质量提升,后续工具发现的漏洞越来越少是自然现象。
AI 安全的真相:营销 vs 实质
Mythos 确实有效,但并不比其他优秀工具更强
Daniel 明确指出,Mythos 发现了有价值的缺陷,curl 因为这次审查变得更好了。但单独审视发现数量和质量,其他 AI 工具在此前的扫描中都发现了更大体量的缺陷。
他说得很直白:
"我个人结论只能是,围绕这个模型的大肆宣传主要是一场营销。我没有看到任何证据表明这个设置比 Mythos 之前的其他工具能发现更高程度或更高级的问题。"
但不可否认 AI 安全工具的重要性
尽管对 Mythos 的 hype 表示保留,Daniel 也强调了 AI 代码分析工具的巨大价值:
"任何还没有用 AI 工具扫描过源代码的项目,很可能通过新一代工具发现海量缺陷、bug 和潜在漏洞。Mythos 可以,其他很多工具也可以。"
"不在你的项目中使用 AI 代码分析,就意味着你把时间和机会留给了攻击者去发现和利用你没有找到的漏洞。"
对 AI 开发者的启示
这次实测对所有用 AI 辅助开发的团队有几点直接启示:
1. AI 安全工具的价值已被验证
无论 Mythos 的 hype 有多大,AI 代码审查工具能发现人类和传统工具遗漏的漏洞——这是事实。WayToClawEarn 上已有详细教程教你如何搭建 AI 代码审查工作流。
想系统学习 AI 代码审查?看:如何用 Claude Code 实现自动化内容生产:30 分钟从零搭建 AI 写作工作流
2. 不要迷信单一工具的 hype
Mythos 实测说明,最好的做法是组合使用多种 AI + 传统工具,而非押注任何一个"革命性"产品。
3. AI 漏洞发现的本质
Daniel 的另一个重要观察:目前所有 AI 工具发现的都不是新型漏洞,而是已有已知漏洞类型的新实例。AI 擅长的是扩大搜索范围、提高发现效率。
4. 人类审核仍然不可替代
5 个"确认"漏洞中 4 个是误报——这直接说明 AI 的安全分析结果必须经过人工审核。完全自动化安全审查的 pipeline 仍然需要人在回路中。
真实案例:AI 安全工具的商业化路径
实际上,用 AI 做代码安全审查已经成为一条可赚钱的赛道。有人已经实践成功:
- 他用 Claude Code + AWS 搭建 AI SaaS,3个月月入 $12,000 — 这个案例展示了如何把 AI 代码能力包装成付费 SaaS 产品
- Claude Code 48小时创业:一人+29美元月费,3个月做到月入$9,000 — 极低成本启动的安全/AI 服务创业故事
工具词条
本次实测中涉及的 AI 工具包括:Anthropic、Mythos、Claude、GitHub Copilot、ChatGPT、OpenAI。这些工具都已被大型开源项目用于安全审查和代码质量保障。
相关阅读
- 📖 Mythos Finds a Curl Vulnerability — Daniel Stenberg 官方博客
- 📖 The Verge: OpenAI 发布 Daybreak 对标 Claude Mythos
- 📖 Google 首次确认黑客用 AI 发现零日漏洞
下一步
如果你想亲自体验 AI 代码审查和自动化工作流,建议从 Claude Code 或 n8n 自动化 pipeline 开始,结合上下文审查看效果。如何使用 Claude Code 与 AI Agent 搭建代码审查流水线 是一份很好的入门教程。