Nieuws
image

AI-model Mythos ontdekt low severity kwetsbaarheid in Curl

maandag 11 mei 2026, 11:03 door Redactie, 5 reacties

AI-model Mythos heeft een low severity kwetsbaarheid in Curl ontdekt, zo laat Curl-maintainer Daniel Stenberg vandaag weten, die nog niet onder de indruk van het model is. Het probleem zal volgende maand in de aankomende Curl release 8.21.0 worden verholpen. Curl is een veelgebruikte library en command-line tool voor het versturen en ontvangen van data via verschillende netwerkprotocollen. "Curl is geïnstalleerd op meer dan twintig miljoen instances. Het draait op meer dan 110 besturingssystemen en 28 CPU-architecturen. Het draait op elke smartphone, tablet, auto, TV, spelcomputer en server op aarde", aldus Stenberg.

Mythos is een door Anthropic ontdekt AI-model dat recentelijk in het nieuws kwam omdat het zeer goed kwetsbaarheden in software kan vinden. Volgens Anthropic is Mythos zo goed in het vinden van beveiligingslekken dat het besloot om het AI-model voor slechts een select aantal bedrijven beschikbaar te maken. Onlangs werd Mythos gebruikt voor een scan van Curl, waarbij de git repository van de software en master branch van een bepaalde recente commit werden gecontroleerd. In totaal analyseerde het AI-model 178.000 regels code.

De eerste versie van Curl verscheen in 1996. Sindsdien werden CVE-nummers voor 188 kwetsbaarheden uitgegeven. Mythos ontdekte recentelijk nog honderden kwetsbaarheden in Firefox. In het geval van Curl bleek de oogst minder groot. Het ging uiteindelijk om één bevestigde kwetsbaarheid met een low severity impact. Stenberg is vooralsnog niet overtuigd door Mythos. "Mijn persoonlijke conclusie kan echter niet anders zijn dat de grote hype rond dit model tot nu toe voornamelijk marketing was. Ik zie geen bewijs dat deze setup grotere of geavanceerdere problemen vindt dan de andere modellen voor Mythos deden."

De Curl-maintainer voegt toe dat AI-modellen wel aanzienlijk beter zijn in het vinden van kwetsbaarheden in broncode dan het geval is bij traditionele 'code analyzers' uit het verleden. Volgens Stenberg is het dan ook belangrijk dat softwareprojecten van AI code analyzers gebruikmaken, omdat anders aanvallers dit zullen doen. Details over het door Mythos gevonden Curl-lek worden volgende maand bij het uitkomen van de patch bekendgemaakt.

Reacties (5)
Reageer met quote
Vandaag, 11:12 door Anoniem
Niet onbelangrijk; hoeveel agents zijn er gebruikt om deze kwetsbaarheid te vinden?
Voordat we weer de FreeBSD discussie krijgen, en hoe "eng" Mythos wel niet is.
Reageer met quote
Vandaag, 11:52 door Anoniem
Het lijkt wel of er een aanval is opgezet op de open source community in opdracht van de T. administratie. Vandaar dat Anthropic tegenwerkte want die gebruiken zelf ook open source (Petri, Bloom etc)
Als dat niet zo, is verwacht ik een hele lading fixes op patchdinsdag waarvan de meesten niet zullen worden uitgelegd (want closed source)
Reageer met quote
Vandaag, 12:35 door Anoniem
Het is onvoorstelbaar hoeveel bugs in curl zitten. Als je dit in een product hebt ingebouwd heb je volgens de aanstormende CRA wet zowat elke maand een issue - melden, gratis fixen, klanten patch geven. Die worden er straks helemaal simpel van. En dan als je ook nog "open" SSL/SSH hebt, libxml, Linux etc. dan is het een festival.
Reageer met quote
Vandaag, 12:50 door Korund
een door Anthropic ontdekt AI-model

Alsof het AI-model er al was en er alleen maar op wachtte totdat Anthropic langs kwam en het vond.

ontdekt -> ontwikkeld.
Reageer met quote
Vandaag, 13:26 door Anoniem
Door Anoniem: Niet onbelangrijk; hoeveel agents zijn er gebruikt om deze kwetsbaarheid te vinden?
Voordat we weer de FreeBSD discussie krijgen, en hoe "eng" Mythos wel niet is.

Het maakt niet uit hoeveel 'agents' er gebruikt worden. Het probleem in de discussie hoe 'eng' Mythos is, draait niet om techniek maar mensen. Ja, het model is goed in het vinden van kwetsbaarheden, dat wordt ook gewoon erkend door de maintainer (beter dan bestaande code analysers). En ja, het model is overhyped...

Beide punten kunnen gewoon tegelijkertijd waar zijn. Het probleem is dat mensen daar niet mee om kunnen gaan, iets mag blijkbaar enkel maar A of B zijn. Je moet blijkbaar maar voor of tegen zijn...

Die mensen zijn dom en denken niet kritisch na. Die moet je gewoon negeren.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure Full Stack Training 2026 Salt Road: Compromised Components