AI-securitytool Mythos claimt 5 kwetsbaarheden in curl, maar 4 zijn onterecht

In dit artikel:

Anthropic's AI-securitytool Mythos vond in de broncode van curl uiteindelijk maar één echte kwetsbaarheid, terwijl de tool aanvankelijk vijf problemen claimde te hebben "bevestigd". Curl-maker en hoofdontwikkelaar Daniel Stenberg en het beveiligingsteam stelden vast dat vier van die vijf meldingen valspositieven waren; de overgebleven fout is bovendien niet-critsich en krijgt een zeer lage CVE-score. De geplande oplossing verschijnt eind juni in curl-versie 8.21.0, tegelijk met publieke details over de bevinding.

Stenberg zegt dat de vroege hype rond Mythos vooral marketing lijkt te zijn en ziet geen bewijs dat de tool meer of ernstigere bugs opspoort dan bestaande analyse-instrumenten; hij nuanceert wel dat dit oordeel geldt voor dit ene repository en dat Mythos in andere projecten beter kan presteren. Ter vergelijking meldde Mozilla recent dat Mythos 271 kwetsbaarheden in Firefox had aangetroffen. Curl is een veelgebruikte commandline-tool voor dataoverdracht tussen verschillende protocollen.