De ontwikkelaars van Curl hebben met de nieuwste versie een recordaantal kwetsbaarheden in de software verholpen, waaronder een 25 jaar oud beveiligingslek. Dat heeft Curl-maintainer Daniel Stenberg laten weten. Veel van de problemen werden door AI-tools gevonden. Curl is een zeer veel gebruikte library en command-line tool voor het versturen en ontvangen van data via verschillende netwerkprotocollen.

Volgens Stenberg is Curl geïnstalleerd op meer dan twintig miljard instances wereldwijd. "Het draait op meer dan 110 besturingssystemen en 28 CPU-architecturen. Het draait op elke smartphone, tablet, auto, TV, spelcomputer en server op aarde", aldus de maintainer. Met Curl 8.21.0 zijn in totaal 18 kwetsbaarheden verholpen. Niet eerder sinds het bestaan van de software, waarvan de eerste versie in 1996 verscheen, werden voor zover bekend met één update zoveel kwetsbaarheden gepatcht. Het vorige record van in één release verholpen kwetsbaarheden dateert van begin 2016. Toen werden na een audit van securitybedrijf Cure 53 elf problemen gepatcht.

Alle nu verholpen kwetsbaarheden hebben een impact die als low of medium is beoordeeld. Eén van de problemen, CVE-2026-8932, is het oudste Curl-lek ooit gerapporteerd. Het probleem was al meer dan 25 jaar in de software aanwezig. De kwetsbaarheid werd in Curl-versie 7.7 geïntroduceerd, die op 22 maart 2001 verscheen. Wat ook aan de gevonden beveiligingslekken opvalt is dat die voornamelijk door middel van AI-tools zijn gevonden, waaronder Aisle, Mythos, Ant AI Security Lab en XlabAI Team.