Curl zal bij de aankomende release een recordaantal kwetsbaarheden verhelpen die door AI-tools zijn gevonden. Het gaat onder andere om de oudste kwetsbaarheid die ooit in Curl is aangetroffen, alsmede een probleem dat het AI-model Mythos wist te vinden. Dat heeft Curl-maintainer Daniel Stenberg bekendgemaakt. Curl is een zeer veel gebruikte library en command-line tool voor het versturen en ontvangen van data via verschillende netwerkprotocollen.

Volgens Stenberg is Curl geïnstalleerd op meer dan twintig miljard instances wereldwijd. "Het draait op meer dan 110 besturingssystemen en 28 CPU-architecturen. Het draait op elke smartphone, tablet, auto, TV, spelcomputer en server op aarde", aldus de maintainer. Vandaag meldt Stenberg via Mastodon dat de releasecyclus van de nieuwe Curl-versie pas halverwege is, maar er nu al elf bevestigde kwetsbaarheden zijn verholpen. Daarnaast liggen nog drie onbevestigde kwetsbaarheden op de plank en komen er dagelijks nieuwe bugmeldingen binnen. Volgens Stenberg is het de meest intense periode die hij in zijn periode als Curl-maintainer heeft meegemaakt.

Het huidige record van in één release verholpen kwetsbaarheden dateert van begin 2016. Toen werden na een audit van securitybedrijf Cure 53 elf problemen gepatcht. De nu verholpen kwetsbaarheden zijn gevonden met AI, aldus Stenberg. "De eenvoudige reden is dat AI powered tools nu heel goed zijn. En mensen gebruiken deze tools tegen de Curl-broncode. Ze vinden heel veel nieuwe problemen die niemand eerder vond. En geen van deze nieuwe kwetsbaarheden is via Mythos gevonden. Het focussen op Mythos is een afleiding - er zijn tal van goede modellen" schrijft de maintainer op LinkedIn.

Mythos is een door Anthropic ontdekt AI-model dat recentelijk in het nieuws kwam omdat het zeer goed kwetsbaarheden in software kan vinden. Volgens Anthropic is Mythos zo goed in het vinden van beveiligingslekken dat het besloot om het AI-model voor slechts een select aantal bedrijven beschikbaar te maken. Onlangs werd Mythos gebruikt voor een scan van Curl, waarbij de git repository van de software en master branch van een bepaalde recente commit werden gecontroleerd. In totaal analyseerde het AI-model 178.000 regels code.

De scan door Mythos leverde één low severity kwetsbaarheid in Curl op. Dit probleem zal ook tijdens de aankomende release worden verholpen. Stenberg was niet onder de indruk van Mythos, zo meldde hij begin mei. "Mijn persoonlijke conclusie kan echter niet anders zijn dat de grote hype rond dit model tot nu toe voornamelijk marketing was. Ik zie geen bewijs dat deze setup grotere of geavanceerdere problemen vindt dan de andere modellen voor Mythos deden."