Salta al contenuto principale
Dal blog

Anthropic Mythos su curl: una CVE confermata e la lezione reale sul security scanning AI

Mythos analizza curl e segnala 5 vulnerabilità, ma dopo triage umano ne resta 1 (low severity). Un caso concreto per capire cosa aspettarsi davvero da AI code security scanning, code review e gestione CVE.

Foto profilo di Alessandro IannaconeAlessandro Iannacone

Ad aprile 2026 Anthropic ha spinto molto la narrativa su Mythos: modello AI molto efficace nell'individuare vulnerabilità nel codice, con accesso iniziale ristretto.

Poi arriva il test su un bersaglio difficile come curl, e il quadro diventa finalmente misurabile.

La domanda utile non è "chi aveva ragione nel dibattito". La domanda utile è: quanto valore operativo produce davvero un AI security scanner su un codebase maturo.


Mythos su curl: i numeri che contano

Dal report citato dal team curl:

  • analisi su circa 178K linee in src/ e lib/
  • 5 vulnerabilità classificate come "confirmed" dal modello
  • dopo revisione del team security: 1 vulnerabilità confermata, 3 falsi positivi e 1 bug non di sicurezza

La vulnerabilità confermata dovrebbe essere pubblicata come CVE a severità bassa nel prossimo ciclo release.

Il risultato è meno spettacolare del racconto iniziale, ma molto più utile per chi fa engineering: serve sempre triage umano, anche con modelli molto avanzati.


Perché questo test ha valore tecnico

curl non è un progetto "facile" da analizzare:

  • circa 176.000 linee C in produzione
  • oltre 20 miliardi di installazioni
  • storico di audit, fuzzing e hardening continuo
  • 188 CVE pubblicate nel tempo, con processo di disclosure consolidato

Quando un progetto e già così controllato, le vulnerabilità rimaste sono più rare, più sottili e più costose da scovare.

In questo contesto, trovare anche un solo problema vero e già un risultato concreto.


Cosa insegna il passaggio da 5 finding a 1 CVE

Questo passaggio e la parte più importante dell'intera storia.

Gli strumenti AI trovano segnali interessanti, ma la classificazione finale richiede:

  1. verifica tecnica sul codice reale
  2. valutazione dell'impatto pratico
  3. distinzione tra limite documentato, bug funzionale e vulnerabilità
  4. prioritizzazione rispetto al rischio operativo

In altre parole: AI accelera la discovery, il team decide il rischio.


Hype e realtà nello scanning di sicurezza con AI

Dal caso curl emergono due verita che possono convivere:

  • non c'è evidenza, qui, di un "salto magico" rispetto ad altri strumenti AI già usati
  • c'è evidenza forte che gli analyzer AI moderni siano utili e ormai difficili da ignorare

Quindi il punto non è scegliere il "modello definitivo". Il punto è costruire un processo continuo con scanner multipli, review umana e fix incrementali.


Cosa significa per CTO, team lead e security owner

Se gestisci software in produzione, la priorità pratica e questa:

  • integrare AI code analysis su repository e pull request
  • mantenere un triage umano rigoroso
  • trasformare i report in backlog azionabile
  • validare i fix con test di regressione e osservabilità

Non usare questi strumenti oggi significa lasciare margine agli attaccanti che li stanno già usando.


Conclusione

Il caso Mythos-curl non dimostra la fine del mondo. Dimostra qualcosa di più utile: la sicurezza moderna migliora quando unisci AI, processo e competenza umana.

Meno slogan, più disciplina operativa. Ed e proprio questa combinazione che, rilascio dopo rilascio, riduce davvero il rischio.


Fonte

Discussione