Mythos encuentra una vulnerabilidad en curl

A finales de abril de 2026, Anthropic causó un gran revuelo en los medios cuando concluyeron que su nuevo modelo de inteligencia artificial Mythos es peligrosamente bueno para encontrar defectos de seguridad en códigos fuente. Aparentemente, Mythos era tan bueno en esto que Anthropic no liberó este modelo al público todavía, pero en su lugar lo distribuyó a unos pocos seleccionados durante un tiempo para permitir que unos pocos buenos (?) tuvieran una ventaja y resolvieran los problemas más urgentes primero, antes de que el público en general lo pueda obtener. Todo el mundo parecía haber perdido la cabeza. ¿Es esto el fin del mundo como lo conocemos? Un estupendo marketing de éxito. Parte del acuerdo con el proyecto Glasswing era que Anthropic también ofreciera acceso a su último modelo de inteligencia artificial a "proyectos Open Source" a través de Linux Foundation. Linux Foundation dejó que su proyecto Alpha Omega se encargara de esto, y fui contactado por sus representantes. Como desarrollador principal de curl, fui ofrecido acceso al modelo mágico y lo acepté con gratitud. Sí, me gustaría ver qué puede encontrar en curl. Firmé el contrato para obtener acceso, pero luego nada sucedió. Pasaron semanas y me dijeron que había un obstáculo en alguna parte y que el acceso estaba retrasado. Finalmente, se me ofreció que alguien más, que tiene acceso al modelo, pudiera realizar un escaneo y análisis en curl para mí utilizando Mythos y enviarme un informe. Para mí, la distinción no es importante. No tengo mucho tiempo para explorar muchos diferentes prompts y hacer aventuras en profundidad de todos modos. Obtener el herramienta para generar un escaneo y análisis propios sería fantástico, quienquiera que lo hiciera. Acepté con alegría esta oferta. (He hecho que no revele la identidad de los individuos involucrados en la análisis de curl, ya que no es el punto de este post del blog.) Análisis de AI de curl Antes de este primer informe de Mythos, habíamos examinado curl con varias herramientas potenciadas por AI muy capaces (yo entiendo que además de ejecutar una serie de "analizadores de código estático normales" todo el tiempo, utilizando las opciones del compilador más estrictas y haciendo fuzzing en él durante años, etc). Primariamente AISLE, Zeropath y OpenAI’s Codex Security han sido utilizados para examinar el código con AI. Estas herramientas y las análisis que han hecho han activado entre 200 y 300 correcciones de errores insertadas en curl en los últimos 8-10 meses o poco más. Una docena o más de las señales de estas herramientas potenciadas por AI han sido confirmadas como vulnerabilidades y han sido publicadas como CVE. Hoy en día también utilizamos herramientas como GitHub’s Copilot y Augment code para revisar solicitudes de pull, y los comentarios y las quejas de ellos nos ayudan a insertar código mejor y a evitar insertar nuevos errores. Yo entiendo, insertamos aún errores, pero los robots de revisión de PR nos ayudan regularmente a corregir errores: nuestras inserciones serían peores sin ellos. Las revisiones AI son utilizadas además de las revisiones humanas. Nos ayudan, no nos sustituyen. Vemos también un volumen alto de informes de seguridad de alta calidad que llegan: los expertos en seguridad ahora utilizan AI de manera extensiva y efectiva. La seguridad es una prioridad para nosotros en el proyecto curl. Seguimos cada línea guía y hacemos ingeniería del software correctamente, para reducir el número de defectos en el código. La búsqueda de defectos es solo uno de muchos pasos para mantener este barco seguro. Debes buscar a largo y duro para encontrar otro proyecto de software que haga lo mismo o vaya más allá de curl, para la seguridad del software. Pasos para mantener curl seguro 6 de mayo de 2026 Era con gran anticipación que recibimos el primer informe de análisis del código fuente generado con Mythos. Otra oportunidad para nosotros de encontrar áreas para mejorar y errores para corregir. Para hacer un curl aún mejor. Esta primera análisis fue realizada en el repositorio Git de curl y en su rama master de un cierto commit reciente. Contó 178K de líneas de código analizadas en las subcarpetas src/ y lib/. La análisis detalla varios enfoques y métodos que ha realizado la búsqueda, y cómo ha enfocado la atención en buscar defectos de seguridad en el código.