Mythos AI quét mã nguồn Curl: Hype marketing hay công cụ bảo mật thực sự?

Vào tháng 4 năm 2026, Anthropic đã gây ra một làn sóng truyền thông lớn khi tuyên bố mô hình AI mới của họ, Mythos, cực kỳ xuất sắc trong việc tìm ra các lỗ hổng bảo mật trong mã nguồn. Theo đó, Anthropic quyết định không phát hành rộng rãi mô hình này ngay lập tức mà chỉ cung cấp cho một số ít công ty được chọn lọc, nhằm giúp họ ưu tiên khắc phục các vấn đề cấp bách trước khi công chúng tiếp cận.

Toàn bộ thế giới dường như đã hoang mang trước thông tin này. Liệu đây có phải là dấu chấm hết cho sự an toàn mạng như chúng ta biết? Hay đơn giản chỉ là một chiến dịch marketing thành công rực rỡ?

Robot AI minh họa

Quy trình tiếp cận Mythos

Là một phần của dự án Glasswing, Anthropic đã cung cấp quyền truy cập vào mô hình AI mới nhất của họ cho các "Dự án mã nguồn mở" thông qua Linux Foundation. Linux Foundation đã giao phó phần việc này cho dự án Alpha Omega, và tôi với tư cách là nhà phát triển chính của curl đã được liên hệ. Tôi đã chấp nhận lời mời này với sự tò mò lớn, muốn xem Mythos có thể tìm ra gì trong mã nguồn của curl.

Tuy nhiên, sau khi ký hợp đồng, tôi đã phải chờ đợi khá lâu do một số trục trặc kỹ thuật. Cuối cùng, thay vì được cấp quyền truy cập trực tiếp, tôi nhận được đề xuất rằng một người khác đang có quyền truy cập vào Mythos sẽ chạy quét và phân tích curl thay tôi, sau đó gửi báo cáo. Tôi vui vẻ chấp nhận phương án này vì mục tiêu chính của tôi là nhận được một bản phân tích chất lượng.

Curl và các công cụ AI trước đây

Trước khi có bản báo cáo từ Mythos, chúng tôi đã quét curl bằng nhiều công cụ AI khác nhau rất mạnh (ngoài việc liên tục chạy các công cụ phân tích mã tĩnh thông thường, sử dụng tùy chọn biên dịch khắt khe nhất và thực hiện fuzzing trong nhiều năm). Chủ yếu là AISLE, Zeropath và OpenAI Codex Security đã được sử dụng để soi xét mã nguồn. Các công cụ này đã kích hoạt việc sửa chữa khoảng hai đến ba trăm lỗi trong 8-10 tháng gần đây. Nhiều phát hiện trong số đó đã được xác nhận là lỗ hổng và được công bố dưới dạng CVE.

Hiện nay, chúng tôi cũng sử dụng GitHub Copilot và Augment code để xem xét các pull request. Các nhận xét của chúng giúp chúng tôi hợp nhất mã tốt hơn và tránh merging các lỗi mới. Các bài đánh giá AI được sử dụng bổ sung cho đánh giá của con người. Chúng hỗ trợ chúng tôi, không thay thế chúng tôi.

curl bảo mật

Kết quả quét Mythos: Từ năm xuống một

curl hiện tại có khoảng 176.000 dòng mã C. Mã nguồn bao gồm 660.000 từ, nhiều hơn 12% so với toàn bộ bản tiếng Anh của cuốn tiểu thuyết Chiến tranh và Hòa bình. Đây là một trong những cơ sở mã C được fuzzing và kiểm toán nhiều nhất hiện nay.

Vào ngày 6 tháng 5, chúng tôi nhận được bản báo cáo phân tích mã nguồn đầu tiên được tạo bởi Mythos. Báo cáo kết luận nó đã tìm thấy năm "Lỗ hổng bảo mật đã được xác nhận". Tuy nhiên, đội ngũ bảo mật của curl có cái nhìn hơi khác.

Sau khi đội ngũ của tôi rà soát kỹ lưỡng danh sách ngắn này trong nhiều giờ, chúng tôi đã cắt giảm danh sách xuống và chỉ còn lại một lỗ hổng đã được xác nhận. Bốn cái còn lại là ba dương tính giả (chúng làm nổi bật các thiếu sót thực sự đã được ghi trong tài liệu API) và cái thứ tư chúng tôi coi là "chỉ là một lỗi thông thường".

Lỗ hổng duy nhất được xác nhận này sẽ được công bố dưới dạng một CVE mức độ nghiêm trọng thấp, đồng bộ với bản phát hành curl 8.21.0 vào cuối tháng 6. Lỗi này không gây ra hậu quả nghiêm trọng nào.

Không quá "nguy hiểm" như lời đồn

Kết luận cá nhân của tôi là cơn sốt lớn xung quanh mô hình này cho đến nay chủ yếu là marketing. Tôi không thấy bằng chứng cho thấy thiết lập này tìm ra các vấn đề ở mức độ cao hơn hoặc tiên tiến hơn so với các công cụ khác đã làm trước Mythos. Có lẽ mô hình này tốt hơn một chút, nhưng ngay cả khi có, nó không tốt đến mức tạo ra sự khác biệt đáng kể trong việc phân tích mã.

Đây chỉ là một kho lưu trữ mã nguồn và có thể nó hoạt động tốt hơn ở các lĩnh vực khác. Tôi chỉ có thể kể và bình luận về những gì nó tìm thấy ở đây.

Công cụ phân tích mã AI vẫn rất tốt

Tuy nhiên, hãy để tôi nhấn mạnh lại điều tôi đã nói trước đây: Các công cụ phân tích mã được hỗ trợ bởi AI tốt hơn đáng kể trong việc tìm ra các lỗ hổng bảo mật và sai sót trong mã nguồn so với bất kỳ công cụ phân tích mã truyền thống nào trong quá khứ. Tất cả các mô hình AI hiện đại đều làm tốt việc này ngày nay.

Bất kỳ dự án nào chưa quét mã nguồn của mình bằng công cụ hỗ trợ AI đều có khả năng tìm thấy số lượng lớn lỗi, sai sót và lỗ hổng tiềm ẩn với thế hệ công cụ mới này. Mythos sẽ làm được điều đó, và nhiều công cụ khác cũng vậy.

Không sử dụng công cụ phân tích mã AI trong dự án của bạn có nghĩa là bạn đang để cho kẻ thù và kẻ tấn công có thời gian và cơ hội để tìm kiếm và khai thác các lỗi mà bạn không tìm thấy.

Sự khác biệt của AI trong phân tích mã

Các công cụ AI có khả năng phát hiện khi nhận xét (comment) nói một điều về mã nhưng mã lại hoạt động khác với nhận xét đó. Chúng có thể kiểm tra mã cho các nền tảng và cấu hình mà chúng tôi không thể chạy công cụ phân tích. Chúng "biết" chi tiết về các thư viện bên thứ ba và API của họ, từ đó có thể phát hiện việc lạm dụng hoặc các giả định sai lầm.

Điều đáng chú ý là các công cụ AI tìm thấy các loại lỗi thông thường và đã được thiết lập mà chúng ta đã biết về. Nó chỉ tìm ra các trường hợp mới của chúng. Chúng tôi chưa thấy bất kỳ AI nào báo cáo một lỗ hổng nào đó thuộc loại hoàn toàn mới hoặc đột phá. Chúng không tái tạo lại lĩnh vực này theo cách đó, nhưng chúng đào sâu lên nhiều vấn đề hơn bất kỳ công cụ nào khác trước đây.

Cảm ơn Anthropic và Alpha Omega đã cung cấp mô hình, công cụ và thực hiện quét cho chúng tôi. Chuyến bay với curl chưa bao giờ nhàm chán.