Mythos 发现 curl 漏洞 — 安全指南与影响分析

发布日期：2026-05-11 阅读时间：8 分钟分类：安全 / curl 项目

事件概述 — Mythos 扫描 curl

2026 年 5 月 11 日，Daniel Stenberg — curl 的创造者和核心维护者 — 发表了一篇博客文章 "Mythos finds a curl vulnerability"，记录了使用 Anthropic 的 Mythos AI 模型 对 curl 进行源码安全分析的结果。这篇文章迅速登上了 Hacker News 首页。

最终结论：Mythos 在 curl 中发现了一个已确认的低严重性漏洞，将作为 CVE 随 curl 8.21.0 版本（预计 2026 年 6 月下旬）一起发布。考虑到 curl 已有 188 个 CVE 且经受着持续的安全审计，Mythos 在 17.8 万行代码中只发现了一个真正的问题，这反而是对 curl 安全水平的肯定。

原文来源：Daniel Stenberg 的博客

本分析基于 Daniel Stenberg（curl 项目创始人兼首席开发者）在 daniel.haxx.se 发布的原始博客文章。Stenberg 是 curl 的原创作者，已维护该项目超过 25 年。文章详细记录了通过 Linux 基金会 Alpha Omega 项目获得 Mythos AI 安全扫描的第一手经历。

Stenberg 在文章中写道："我们怀着极大的期待收到了第一份用 Mythos 生成的源码分析报告。又一次机会让我们找到可以改进的地方、修复问题，让 curl 变得更好。"

Mythos 与 Glasswing 项目背景

2026 年 4 月，Anthropic 因其新 AI 模型 Mythos 在发现源代码安全漏洞方面的卓越能力而成为头条新闻——以至于 Anthropic 决定不向公众发布该模型，而是通过 Project Glasswing 向选定的组织提供访问权限。

Linux 基金会通过其 Alpha Omega 项目（隶属于 OpenSSF）为开源项目争取到了模型的使用权。Stenberg 被联系并获得了使用机会。经过数周的合同延迟后，他得到替代方案：由已经拥有 Mythos 访问权限的人代为对 curl 代码库运行扫描。

Stenberg 对此并不太在意："无论如何，让工具生成一份初步的适当扫描和分析就很棒了。"

扫描结果：五个宣称，一个确认

Mythos 报告分析了 curl 的 git 仓库（master 分支，提交 455bebc2），扫描了 src/ 和 lib/ 目录中的 17.8 万行代码。

报告中有一个有趣的注释："curl 是现有最受模糊测试和审计的 C 代码库之一（OSS-Fuzz、Coverity、CodeQL、多次付费审计）。在热点路径（HTTP/1、TLS、URL 解析核心）中找到任何东西的可能性很低。"——而结果也确实在这些区域没有发现任何问题。

结果对比

Mythos 最初声称发现了 五个"已确认安全漏洞"。经过 Stenberg 和 curl 安全团队的审查：

1 个确认漏洞 — 低严重性，将与 curl 8.21.0 一起作为 CVE 发布（2026 年 6 月下旬）
3 个误报 — 标出的问题在 API 文档中已有说明
1 个"只是一个 bug" — 代码缺陷，不认定为安全漏洞

Stenberg 对这个"已确认"的措辞感到有趣："当 AI 自己自信地说它是已确认的时候，我觉得这个词有点好笑。是的，AI 认为它们是已确认的，但 curl 安全团队有稍微不同的看法。"

除了漏洞之外，Mythos 还发现了大约 20 个 bug，均已被描述和解释得很好，正在逐一修复。Stenberg 对报告质量给予了肯定："总共约 20 个 bug，描述和解释都非常到位。几乎没有误报。"

CVE 时间线

这个确认的漏洞严重性为低。完整细节将在 curl 8.21.0 发布时公开。Stenberg 表示："这个漏洞不会让任何人喘不过气来。"

curl 的规模：地球上最普及的网络库

要理解 curl 任何一个漏洞的严重性，你需要了解它的规模：

200 亿+ 安装量 — 几乎每个联网设备都运行着 curl
17.6 万行 C 代码（不含空行）
66 万词汇 — 比整本英文版《战争与和平》还多 12%
110+ 个操作系统，28 种 CPU 架构
1,465 人 曾向 curl 的 git 仓库贡献过代码
188 个 CVE 已发布
平均每行生产代码被重写了 4.14 次

curl 运行在 每一部智能手机、平板、汽车、电视、游戏机和服务器 上。它是几乎所有操作系统、编程语言运行时和开发框架中 HTTP 请求的底层引擎。

curl 的安全实践：行业领先水平

Mythos 扫描只是 curl 长期安全分析历程中的最新一环。curl 的安全方法包括：

持续模糊测试 — 通过 Google OSS-Fuzz 多年的不间断测试
静态分析 — Coverity、CodeQL 及定制工具
多次付费安全审计 — 由第三方安全公司执行
AI 扫描 — 在 Mythos 之前，curl 已经过 AISLE、Zeropath 和 OpenAI Codex Security 扫描，在过去 8-10 个月内贡献了 200-300 个 bug 修复，包括十几个 CVE
AI PR 审查 — 使用 GitHub Copilot 和 Augment Code 审查拉取请求
遵循每一项安全指南，严格执行软件工程规范

Stenberg 强调："你需要搜索很久很久才能找到另一个在软件安全方面比 curl 做得更多或走得更远的软件项目。"

关于 AI 驱动的高质量安全报告 的大趋势，Stenberg 在 4 月的博客 "High Quality Chaos" 中已有论述——安全研究人员正在广泛而有效地使用 AI 来发现 bug。

影响分析

这个特定 CVE 的实际影响是低的。该漏洞将在 curl 8.21.0 中修复。然而，更广泛的意义值得注意：

AI 漏洞发现是真实的 — Mythos 在地球上最受审计的代码库之一中发现了一个真正的漏洞
炒作需要冷静看待 — 5 个宣称 → 1 个确认的低严重性发现，说明 AI 的宏大声明需要人类验证
curl 仍然极其安全 — 在 17.8 万行 C 代码中只找到一个低严重性问题，实际上是对 curl 安全实践的有力肯定

给用户和开发者的建议

1. 在 curl 8.21.0 发布时更新

修复将包含于 curl 8.21.0，预计 2026 年 6 月下旬
关注 curl 安全公告页面获取 CVE 详情
大多数包管理器（apt、brew、yum、apk）会自动更新

2. 了解 libcurl 依赖链

curl/libcurl 经常作为 Node.js、Python、PHP、Ruby、Go、Rust（通过系统库间接）以及几乎每个 Linux 发行版的传递依赖被引入
检查你的应用链接的是系统 libcurl 还是捆绑了自己的版本
对于容器化应用，在更新发布后重建基础镜像

3. 关注 curl 安全公告

订阅 curl-announce 邮件列表
关注 curl 安全页面
启用 Dependabot 等工具检测 curl/libcurl 版本变化

4. 对开发团队的建议

将 curl 安全公告纳入漏洞告警流程
使用 curl --version 检查各环境的版本
如果从源码构建 curl，关注 curl GitHub 仓库
低严重性 CVE 在普遍使用的库中可能成为多步骤攻击的入口——认真打补丁

深层次思考：AI 在漏洞发现中的角色

Mythos-curl 的故事是一个关于高级 AI 与软件安全交叉的案例研究：

信号 vs. 噪音：即使最好的 AI 模型也会产生误报——人类专家的审查仍然不可或缺
收益递减：代码库受到越多审计，任何工具（AI 或传统）找到新问题的难度就越大
访问不对称：如果 Mythos 这样的模型仅限于特定组织使用，开源项目在漏洞发现方面面临不平等竞争
炒作管理：Anthropic "危险地擅长" 的表述引发了大量媒体关注，但在 curl 这样维护良好的项目上的实际成果是有限的

curl 用户在 curl 8.21.0 发布时更新即可。地球上最广泛使用的网络库仍然由顶尖的安全实践守护着。

总结

Mythos 对 curl 17.8 万行 C 代码进行了安全扫描，发现了一个已确认的低严重性漏洞 — 这个结果更多地是对 curl 卓越安全实践的肯定，而非暴露了任何重大弱点。该 CVE 将在 2026 年 6 月下旬随 curl 8.21.0 一起发布。

核心要点：

curl 仍然是最安全的开源项目之一 — 在 17.8 万行最受审计的 C 代码中只发现一个真正的问题
AI 漏洞发现在成熟 — 但仍然需要人工验证来过滤误报
8.21.0 发布时更新 — 修复级别为低，但对普遍使用的基础设施来说，补丁勤奋很重要
关注 curl 安全页面 — curl.se/docs/security.html

原文来源：Daniel Stenberg — Mythos finds a curl vulnerability

延伸阅读：Daniel Stenberg — High Quality Chaos (2026 年 4 月) | Anthropic — Project Glasswing | OpenSSF — Alpha Omega