«Маркетинговый хайп»: из пяти уязвимостей Mythos в curl подтвердилась одна

Дэниел Стенберг, лид и основной разработчик проекта curl, опубликовал разбор результатов сканирования кода библиотеки моделью Mythos от Anthropic в рамках Project Glasswing. Из пяти "подтвержденных уязвимостей", о которых отчиталась модель, после проверки силами команды безопасности проекта осталась одна — низкого уровня важности, она выйдет CVE вместе с curl 8.21.0 в конце июня. Свой главный вывод Стенберг сформулировал прямо: "хайп вокруг этой модели в основном маркетинговый".

В апреле Anthropic представила Mythos как модель, которая "опасно хороша" в поиске уязвимостей в коде — настолько, что в открытый доступ ее решили не выпускать, а раздать партнерам по программе Project Glasswing: AWS, Apple, Google, Microsoft, NVIDIA, Linux Foundation и еще нескольким десяткам организаций. Заявленные результаты выглядели сногсшибательно: тысячи zero-day-уязвимостей во всех мажорных операционных системах и браузерах, 72% успешных эксплойтов на внутренних бенчмарках против менее 1% у предыдущей Claude Opus 4.6. Команда Firefox за апрель отчиталась о 271 найденной уязвимости, закрыв за месяц больше дыр, чем за весь 2025 год, и большую часть нашла именно Mythos.

Стенберг как ведущий разработчик одного из самых распространенных open-source-проектов в мире — curl стоит примерно на 20 миллиардах устройств, от смартфонов до автомобилей и серверов — получил приглашение от Linux Foundation через ее подразделение Alpha Omega. Контракт он подписал, но самого доступа к модели так и не дождался: сначала случилась "техническая заминка", а потом ему предложили вариант с третьей стороной — кто-то из других участников программы запустит сканирование и пришлет готовый отчет. Стенберг согласился. Анализ покрыл 178 тысяч строк C-кода библиотеки.

Дальше