Salta al contenuto principale
Alessandro Iannacone
Pubblicato il

Anthropic Mythos su curl: una CVE confermata e la lezione reale sul security scanning AI

Autori
  • Foto profilo di Alessandro Iannacone
    Nome
    Alessandro Iannacone
    Profilo X

Ad aprile 2026 Anthropic ha spinto molto la narrativa su Mythos: modello AI molto efficace nell individuare vulnerabilita nel codice, con accesso iniziale ristretto.

Poi arriva il test su un bersaglio difficile come curl, e il quadro diventa finalmente misurabile.

La domanda utile non e "chi aveva ragione nel dibattito". La domanda utile e: quanto valore operativo produce davvero un AI security scanner su un codebase maturo.

Mythos su curl: i numeri che contano

Dal report citato dal team curl:

  • analisi su circa 178K linee in src/ e lib/
  • 5 vulnerabilita classificate come "confirmed" dal modello
  • dopo revisione del team security: 1 vulnerabilita confermata, 3 falsi positivi e 1 bug non di sicurezza

La vulnerabilita confermata dovrebbe essere pubblicata come CVE a severita bassa nel prossimo ciclo release.

Il risultato e meno spettacolare del racconto iniziale, ma molto piu utile per chi fa engineering: serve sempre triage umano, anche con modelli molto avanzati.

Perche questo test ha valore tecnico

curl non e un progetto "facile" da analizzare:

  • circa 176.000 linee C in produzione
  • oltre 20 miliardi di installazioni
  • storico di audit, fuzzing e hardening continuo
  • 188 CVE pubblicate nel tempo, con processo di disclosure consolidato

Quando un progetto e gia cosi controllato, le vulnerabilita rimaste sono piu rare, piu sottili e piu costose da scovare.

In questo contesto, trovare anche un solo problema vero e gia un risultato concreto.

Cosa insegna il passaggio da 5 finding a 1 CVE

Questo passaggio e la parte piu importante dell intera storia.

Gli strumenti AI trovano segnali interessanti, ma la classificazione finale richiede:

  1. verifica tecnica sul codice reale
  2. valutazione dell impatto pratico
  3. distinzione tra limite documentato, bug funzionale e vulnerabilita
  4. prioritizzazione rispetto al rischio operativo

In altre parole: AI accelera la discovery, il team decide il rischio.

Hype e realta nello scanning di sicurezza con AI

Dal caso curl emergono due verita che possono convivere:

  • non c e evidenza, qui, di un "salto magico" rispetto ad altri strumenti AI gia usati
  • c e evidenza forte che gli analyzer AI moderni siano utili e ormai difficili da ignorare

Quindi il punto non e scegliere il "modello definitivo". Il punto e costruire un processo continuo con scanner multipli, review umana e fix incrementali.

Cosa significa per CTO, team lead e security owner

Se gestisci software in produzione, la priorita pratica e questa:

  • integrare AI code analysis su repository e pull request
  • mantenere un triage umano rigoroso
  • trasformare i report in backlog azionabile
  • validare i fix con test di regressione e osservabilita

Non usare questi strumenti oggi significa lasciare margine agli attaccanti che li stanno gia usando.

Conclusione

Il caso Mythos-curl non dimostra la fine del mondo. Dimostra qualcosa di piu utile: la sicurezza moderna migliora quando unisci AI, processo e competenza umana.

Meno slogan, piu disciplina operativa. Ed e proprio questa combinazione che, rilascio dopo rilascio, riduce davvero il rischio.

Fonte

Discutine su XVedi su GitHub