AI-model Mythos heeft een low severity kwetsbaarheid in Curl ontdekt, zo laat Curl-maintainer Daniel Stenberg vandaag weten, die nog niet onder de indruk van het model is. Het probleem zal volgende maand in de aankomende Curl release 8.21.0 worden verholpen. Curl is een veelgebruikte library en command-line tool voor het versturen en ontvangen van data via verschillende netwerkprotocollen. "Curl is geïnstalleerd op meer dan twintig miljoen instances. Het draait op meer dan 110 besturingssystemen en 28 CPU-architecturen. Het draait op elke smartphone, tablet, auto, TV, spelcomputer en server op aarde", aldus Stenberg.
Mythos is een door Anthropic ontdekt AI-model dat recentelijk in het nieuws kwam omdat het zeer goed kwetsbaarheden in software kan vinden. Volgens Anthropic is Mythos zo goed in het vinden van beveiligingslekken dat het besloot om het AI-model voor slechts een select aantal bedrijven beschikbaar te maken. Onlangs werd Mythos gebruikt voor een scan van Curl, waarbij de git repository van de software en master branch van een bepaalde recente commit werden gecontroleerd. In totaal analyseerde het AI-model 178.000 regels code.
De eerste versie van Curl verscheen in 1996. Sindsdien werden CVE-nummers voor 188 kwetsbaarheden uitgegeven. Mythos ontdekte recentelijk nog honderden kwetsbaarheden in Firefox. In het geval van Curl bleek de oogst minder groot. Het ging uiteindelijk om één bevestigde kwetsbaarheid met een low severity impact. Stenberg is vooralsnog niet overtuigd door Mythos. "Mijn persoonlijke conclusie kan echter niet anders zijn dat de grote hype rond dit model tot nu toe voornamelijk marketing was. Ik zie geen bewijs dat deze setup grotere of geavanceerdere problemen vindt dan de andere modellen voor Mythos deden."
De Curl-maintainer voegt toe dat AI-modellen wel aanzienlijk beter zijn in het vinden van kwetsbaarheden in broncode dan het geval is bij traditionele 'code analyzers' uit het verleden. Volgens Stenberg is het dan ook belangrijk dat softwareprojecten van AI code analyzers gebruikmaken, omdat anders aanvallers dit zullen doen. Details over het door Mythos gevonden Curl-lek worden volgende maand bij het uitkomen van de patch bekendgemaakt.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Digital Designer
Ben jij een Grafisch vormgever, UI/UX-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, en op zoek naar een unieke en uitdagende baan waar je al je creativiteit in kwijt kan? Dan ben je bij Certified Secure aan het juiste adres! Je werkt samen met onze security developers aan onze Gamified Cybersecurity Challenges.
