A fine aprile 2026 Anthropic ha causato un gran rumore dei media quando hanno concluso che il loro nuovo modello di intelligenza artificiale Mythos è pericolosamente bravo a trovare difetti di sicurezza nei codici sorgenti. Apparentemente Mythos era così bravo in questo che Anthropic non ha rilasciato questo modello al pubblico ancora, ma invece lo ha distribuito a pochi selezionati per un po' di tempo per permettere a pochi buoni (?) di avere un vantaggio e risolvere i problemi più urgenti per primi, prima che la gente comune lo possa ottenere. Tutto il mondo sembrava aver perso la testa. È questo la fine del mondo come lo conosciamo? Un marketing di successo incredibile. Parte del contratto con il progetto Glasswing era che Anthropic offrisse anche l'accesso al loro ultimo modello di intelligenza artificiale ai "progetti Open Source" tramite Linux Foundation. Linux Foundation ha lasciato che il loro progetto Alpha Omega si occupasse di questo, e sono stato contattato dai loro rappresentanti. Come sviluppatore principale di curl sono stato offerto l'accesso al modello magico e ho accettato con gratitudine. Sì, vorrei vedere cosa può trovare in curl. Ho firmato il contratto per ottenere l'accesso, ma poi nulla è successo. Sono passate settimane e mi è stato detto che c'era un intoppo da qualche parte e l'accesso era ritardato. Infine, sono stato offerto che qualcun altro, che ha accesso al modello, potesse eseguire uno scan e un'analisi su curl per me utilizzando Mythos e inviarmi un rapporto. Per me, la distinzione non è importante. Non avrei molto tempo per esplorare molti diversi prompt e fare avventure in profondità comunque. Ottenere lo strumento per generare uno scan e un'analisi propri sarebbe fantastico, chiunque lo facesse. Ho accettato con gioia questa offerta. (L'ho fatto apposta di non rivelare l'identità degli individui coinvolti nell'analisi di curl come non è il punto di questo post del blog.) Analisi di AI di curl Prima di questo primo rapporto di Mythos, avevamo già esaminato curl con diversi strumenti potenziati da AI molto capaci (io intendo in aggiunta a eseguire una serie di "normali" analizzatori di codice statici tutto il tempo, utilizzando le opzioni del compilatore più severe e facendo fuzzing su di esso per anni ecc). Primariamente AISLE, Zeropath e OpenAI’s Codex Security sono stati utilizzati per esaminare il codice con AI. Questi strumenti e le analisi che hanno fatto hanno attivato tra i 200 e i 300 bugfixes inseriti in curl nel corso degli ultimi 8-10 mesi o poco più. Una decina o più delle segnalazioni di questi strumenti potenziati da AI sono state confermate come vulnerabilità e sono state pubblicate come CVE. Oggi utilizziamo anche strumenti come GitHub’s Copilot e Augment code per esaminare le richieste di pull, e i loro commenti e le loro lamentele ci aiutano a inserire codice migliore e a evitare di inserire nuovi bug. Io intendo, inseriamo ancora bug, ma i robot di recensione dei PR ci aiutano regolarmente a correggere gli errori: le nostre inserzioni sarebbero peggiori senza di loro. Le recensioni AI sono utilizzate in aggiunta alle recensioni umane. Ci aiutano, non ci sostituiscono. Vediamo anche un volume alto di segnalazioni di sicurezza di alta qualità che arrivano: gli esperti di sicurezza ora utilizzano l'AI estensivamente e efficacemente. La sicurezza è una priorità per noi nel progetto curl. Seguiamo ogni linea guida e facciamo ingegneria del software correttamente, per ridurre il numero di difetti nel codice. La scansione dei difetti è solo uno dei molti passaggi per tenere questo vascello sicuro. Dovresti cercare a lungo e duramente per trovare un altro progetto di software che faccia altrettanto o vada più lontano di curl, per la sicurezza del software. Passaggi per mantenere curl sicuro 6 maggio 2026 Era con grande anticipo che abbiamo ricevuto il primo rapporto di analisi del codice sorgente generato con Mythos. Un’altra possibilità per noi di trovare aree da migliorare e bug da correggere. Per fare un curl ancora migliore. Questa prima analisi è stata eseguita sul repository Git di curl e sulla sua branca master di un certo commit recente. Ha contato 178K di linee di codice analizzate nelle sottodirectory src/ e lib/. L'analisi dettaglia diversi approcci e metodi che ha eseguito la ricerca, e come ha focalizzato l'attenzione su cercare di trovare difetti di sicurezza nel codice.
Commenti (0)
Accedi o Registrati per candidarti