Im April 2026 hat Anthropic einen großen Medienrummel verursacht, als sie festgestellt haben, dass ihr neues KI-Modell Mythos gefährlich gut ist, um Sicherheitslücken in Quellcode zu finden. Anscheinend war Mythos so gut in dieser Hinsicht, dass Anthropic nicht dieses Modell der Öffentlichkeit zugänglich machen wollte, sondern es an einige ausgewählte Unternehmen verteilen wollte, damit diese die dringendsten Probleme zuerst lösen können, bevor die breite Öffentlichkeit Zugriff darauf erhält. Die ganze Welt schien den Verstand verloren zu haben. Ist dies das Ende der Welt, wie wir sie kennen? Ein unglaublicher Marketing-Coup. Teil des Abkommens mit dem Projekt Glasswing war, dass Anthropic auch dem letzten KI-Modell Zugang zu "Open-Source-Projekten" über die Linux Foundation anbieten sollte. Die Linux Foundation hat das Projekt Alpha Omega damit beauftragt, und ich wurde von ihren Vertretern kontaktiert. Als Hauptentwickler von curl wurde ich Zugang zum magischen Modell angeboten und habe ihn dankbar angenommen. Ja, ich möchte sehen, was es in curl finden kann. Ich habe den Vertrag für den Zugang unterschrieben, aber dann passierte nichts. Wochen vergingen, und ich wurde gesagt, dass es ein Haken irgendwo gegeben hätte und der Zugang verzögert worden wäre. Schließlich wurde mir angeboten, dass jemand anderes, der Zugriff auf das Modell hat, einen Scan und eine Analyse von curl für mich durchführen könnte, indem er Mythos nutzt und mir einen Bericht sendet. Für mich ist die Differenz nicht wichtig. Ich habe nicht viel Zeit, um viele verschiedene Prompts zu erkunden und tiefgreifende Abenteuer zu erleben. Ein Werkzeug, das eine erste ordnungsgemäße Analyse und einen Scan generiert, wäre großartig, wer es auch macht. Ich habe diese Angebote gerne angenommen. (Ich habe absichtlich die Identität der Personen, die an der Analyse von curl beteiligt waren, nicht genannt, da es nicht das Thema dieses Blog-Beitrags ist.) Analyse von AI von curl Bevor dieser erste Mythos-Bericht kam, hatten wir bereits curl mit verschiedenen sehr fähigen AI-gesteuerten Werkzeugen untersucht (ich meine, zusätzlich zu der Durchführung einer Reihe von "normalen" statischen Codeanalyse-Tools alle Zeit, die Verwendung der strengsten Compileroptionen und das Fuzzing von ihm in den letzten Jahren usw.). Primär AISLE, Zeropath und OpenAI’s Codex Security wurden verwendet, um den Code mit AI zu untersuchen. Diese Werkzeuge und die Analysen, die sie durchgeführt haben, haben zwischen 200 und 300 Bugfixes in curl in den letzten 8-10 Monaten oder etwas mehr eingefügt. Eine Dutzend oder mehr der Signale dieser AI-gesteuerten Werkzeuge wurden als Sicherheitslücken bestätigt und als CVE veröffentlicht. Heute verwenden wir auch Werkzeuge wie GitHub’s Copilot und Augment code, um Pull-Anfragen zu überprüfen, und ihre Kommentare und Beschwerden helfen uns, besseres Code einzufügen und neue Fehler zu vermeiden. Ich meine, wir fügen immer noch Fehler ein, aber die PR-Review-Roboter helfen uns regelmäßig, Fehler zu korrigieren: unsere Einfügungen wären schlechter ohne sie. Die AI-Überprüfungen werden zusätzlich zu den menschlichen Überprüfungen verwendet. Sie helfen uns, sie ersetzen uns nicht. Wir sehen auch einen hohen Volumen hochwertiger Sicherheitsberichte, die eintreffen: Sicherheitsexperten nutzen AI jetzt effektiv und umfassend. Die Sicherheit ist für uns im Projekt curl eine Priorität. Wir folgen jeder Richtlinie und machen Software-Engineering richtig, um den Codefehlern zu reduzieren. Die Suche nach Fehlern ist nur einer von vielen Schritten, um diesen Schiff zu sichern. Du musst lange und hart suchen, um einen anderen Software-Projekt zu finden, der so viel oder weiter geht als curl, für die Software-Sicherheit. Schritte, um curl sicher zu halten 6. Mai 2026 Es war mit großer Vorfreude, dass wir den ersten Bericht der Analyse des Quellcodes, der mit Mythos erstellt wurde, erhielten. Eine weitere Chance für uns, Bereiche zu verbessern und Fehler zu korrigieren. Um einen besseren curl zu machen. Diese erste Analyse wurde in dem Git-Repository von curl und in der Master-Branche eines bestimmten kürzlichen Commits durchgeführt. Es wurden 178K Zeilen von Code analysiert in den Unterordnern src/ und lib/. Die Analyse beschreibt verschiedene Ansätze und Methoden, die durchgeführt wurden, um die Suche durchzuführen, und wie sie sich auf die Suche nach Sicherheitslücken im Code konzentriert.
Kommentare (0)
Login or Register to apply