Anthropic Mythos su curl: una CVE confermata e la lezione reale sul security scanning AI
Mythos analizza curl e segnala 5 vulnerabilità, ma dopo triage umano ne resta 1 (low severity). Un caso concreto per capire cosa aspettarsi davvero da AI code security scanning, code review e gestione CVE.
Ad aprile 2026 Anthropic ha spinto molto la narrativa su Mythos: modello AI molto efficace nell'individuare vulnerabilità nel codice, con accesso iniziale ristretto.
Poi arriva il test su un bersaglio difficile come curl, e il quadro diventa finalmente misurabile.
La domanda utile non è "chi aveva ragione nel dibattito". La domanda utile è: quanto valore operativo produce davvero un AI security scanner su un codebase maturo.
Mythos su curl: i numeri che contano
Dal report citato dal team curl:
- analisi su circa 178K linee in
src/elib/ - 5 vulnerabilità classificate come "confirmed" dal modello
- dopo revisione del team security: 1 vulnerabilità confermata, 3 falsi positivi e 1 bug non di sicurezza
La vulnerabilità confermata dovrebbe essere pubblicata come CVE a severità bassa nel prossimo ciclo release.
Il risultato è meno spettacolare del racconto iniziale, ma molto più utile per chi fa engineering: serve sempre triage umano, anche con modelli molto avanzati.
Perché questo test ha valore tecnico
curl non è un progetto "facile" da analizzare:
- circa 176.000 linee C in produzione
- oltre 20 miliardi di installazioni
- storico di audit, fuzzing e hardening continuo
- 188 CVE pubblicate nel tempo, con processo di disclosure consolidato
Quando un progetto e già così controllato, le vulnerabilità rimaste sono più rare, più sottili e più costose da scovare.
In questo contesto, trovare anche un solo problema vero e già un risultato concreto.
Cosa insegna il passaggio da 5 finding a 1 CVE
Questo passaggio e la parte più importante dell'intera storia.
Gli strumenti AI trovano segnali interessanti, ma la classificazione finale richiede:
- verifica tecnica sul codice reale
- valutazione dell'impatto pratico
- distinzione tra limite documentato, bug funzionale e vulnerabilità
- prioritizzazione rispetto al rischio operativo
In altre parole: AI accelera la discovery, il team decide il rischio.
Hype e realtà nello scanning di sicurezza con AI
Dal caso curl emergono due verita che possono convivere:
- non c'è evidenza, qui, di un "salto magico" rispetto ad altri strumenti AI già usati
- c'è evidenza forte che gli analyzer AI moderni siano utili e ormai difficili da ignorare
Quindi il punto non è scegliere il "modello definitivo". Il punto è costruire un processo continuo con scanner multipli, review umana e fix incrementali.
Cosa significa per CTO, team lead e security owner
Se gestisci software in produzione, la priorità pratica e questa:
- integrare AI code analysis su repository e pull request
- mantenere un triage umano rigoroso
- trasformare i report in backlog azionabile
- validare i fix con test di regressione e osservabilità
Non usare questi strumenti oggi significa lasciare margine agli attaccanti che li stanno già usando.
Conclusione
Il caso Mythos-curl non dimostra la fine del mondo. Dimostra qualcosa di più utile: la sicurezza moderna migliora quando unisci AI, processo e competenza umana.
Meno slogan, più disciplina operativa. Ed e proprio questa combinazione che, rilascio dopo rilascio, riduce davvero il rischio.
Fonte
Discussione