En avril 2026, Anthropic a causé un grand remue-ménage dans les médias en concluant que leur nouveau modèle d'intelligence artificielle Mythos est dangereusement bon pour trouver des vulnérabilités dans les codes sources. Apparemment, Mythos était si bon dans ce domaine que Anthropic n'a pas voulu rendre ce modèle public encore, mais l'a plutôt distribué à quelques entreprises sélectionnées pendant un certain temps pour leur permettre de résoudre les problèmes les plus urgents avant que le public général n'en ait accès. Tout le monde semblait avoir perdu la tête. Est-ce la fin du monde tel que nous le connaissons ? Un marketing de succès incroyable. Partie de l'accord avec le projet Glasswing était que Anthropic offrirait également l'accès à leur dernier modèle d'intelligence artificielle aux "projets Open Source" via la Fondation Linux. La Fondation Linux a laissé que leur projet Alpha Omega s'en charge, et j'ai été contacté par leurs représentants. En tant que développeur principal de curl, j'ai été offert l'accès au modèle magique et j'ai accepté avec gratitude. Oui, je voudrais voir ce que cela peut trouver dans curl. J'ai signé le contrat pour obtenir l'accès, mais puisque rien n'est arrivé. Des semaines sont passées et j'ai été dit qu'il y avait un hic dans quelque part et que l'accès était retardé. Finalement, j'ai été offert que quelqu'un d'autre, qui a accès au modèle, pourrait faire un scan et une analyse de curl pour moi en utilisant Mythos et m'envoyer un rapport. Pour moi, la distinction n'est pas importante. Je n'ai pas beaucoup de temps pour explorer de nombreux prompts et faire des aventures en profondeur de toute façon. Obtenir un outil pour générer un premier scan et une analyse propres serait fantastique, quiconque le ferait. J'ai accepté avec joie cette offre. (J'ai fait exprès de ne pas révéler l'identité des individus impliqués dans l'analyse de curl, car ce n'est pas le point de ce billet de blog.) Analyse d'IA de curl Avant ce premier rapport de Mythos, nous avions déjà examiné curl avec plusieurs outils très capables alimentés par l'IA (je veux dire, en plus de l'exécution d'une série de "code analyzers statiques normaux" tout le temps, en utilisant les options de compilation les plus sévères et en faisant du fuzzing sur elle pendant des années, etc). Principalement AISLE, Zeropath et OpenAI’s Codex Security ont été utilisés pour examiner le code avec l'IA. Ces outils et les analyses qu'ils ont effectuées ont déclenché entre 200 et 300 corrections d'erreurs insérées dans curl au cours des 8-10 derniers mois ou un peu plus. Une douzaine ou plus des signaux de ces outils alimentés par l'IA ont été confirmés comme vulnérabilités et ont été publiés comme CVE. Aujourd'hui, nous utilisons également des outils comme GitHub’s Copilot et Augment code pour examiner les demandes de pull, et leurs commentaires et leurs plaintes nous aident à insérer du code de meilleure qualité et à éviter d'insérer de nouveaux erreurs. Je veux dire, nous insérons toujours des erreurs, mais les robots de revue de PR nous aident régulièrement à corriger les erreurs : nos inscriptions seraient pires sans eux. Les revues d'IA sont utilisées en plus des revues humaines. Elles nous aident, elles ne nous remplacent pas. Nous voyons également un volume élevé de rapports de sécurité de haute qualité qui arrivent : les experts en sécurité utilisent maintenant l'IA de manière efficace et étendue. La sécurité est une priorité pour nous dans le projet curl. Nous suivons chaque ligne de conduite et faisons de l'ingénierie du logiciel correctement, pour réduire le nombre de défauts dans le code. La recherche de défauts est seulement un des nombreux pas pour maintenir ce navire en sécurité. Vous devez chercher longtemps et dur pour trouver un autre projet de logiciel qui fait autant ou va plus loin que curl, pour la sécurité du logiciel. Étapes pour maintenir curl en sécurité 6 mai 2026 C'était avec grande anticipation que nous avons reçu le premier rapport d'analyse du code source généré avec Mythos. Une autre chance pour nous de trouver des domaines à améliorer et des erreurs à corriger. Pour faire un curl encore meilleur. Cette première analyse a été effectuée dans le dépôt Git de curl et dans la branche master d'un certain commit récent. Il y a eu 178K de lignes de code analysées dans les sous-dossiers src/ et lib/. L'analyse décrit différents approches et méthodes qui ont été utilisées pour la recherche, et comment elle s'est concentrée sur la recherche de vulnérabilités dans le code.
Commentaires (0)
Login or Register to apply