这是curl(libcurl)首席开发者 Daniel Stenberg 本人于2026年5月11日在其个人博客上发布的真实内容(标题:《Mythos finds a curl vulnerability》)。
daniel.haxx.se
核心事实(与微博帖完全一致):Anthropic 的 Mythos(Claude Mythos Preview,在 Project Glasswing 计划下)对 curl 的源代码进行了扫描。 扫描范围:curl git 仓库 master 分支的 src/ 和 lib/ 子目录,共约 17.8 万行 C 代码(微博说“约17.6万行”,非常接近)。 Mythos 报告了 5 个“Confirmed security vulnerabilities”(确认的安全漏洞)。 curl 安全团队人工复核后:仅确认 1 个低风险漏洞,将作为低危 CVE 在即将发布的 curl 8.21.0 版本(6月底)中修复。 其余 4 个:3 个是误报(指向 API 文档中早已明确记录的已知限制),1 个只是普通 bug。
此外,Mythos 还额外发现了约 20 个非安全 bug,团队正在修复。
Stenberg 在博客中明确表示:虽然 AI 扫描工具确实比传统方法强很多,但 Mythos 的表现并没有明显超出之前其他 AI 工具(如 AISLE 等此前已对 curl 做过扫描),他认为 Anthropic 围绕 Mythos 的宣传“主要是营销”。他还幽默地称这是“一个极其成功的市场营销 stunt”。 theregister.com
证据来源: Daniel Stenberg 官方博客(主来源):https://daniel.haxx.se/blog/2026/05/11/mythos-finds-a-curl-vulnerability/ The Register 报道(详细总结):https://www.theregister.com/security/2026/05/11/anthropics-bug-hunting-mythos-was-greatest-marketing-stunt-ever-says-curl-creator/5238111
登录后评论