L'AI apocalittica di Anthropic trova un solo bug in curl: Mythos ridimensionato

La promessa era quasi apocalittica: un modello AI capace di individuare vulnerabilità nel codice sorgente di qualunque software con un’efficacia tale da indurre Anthropic (l’azienda che sviluppa Claude) a limitarne temporaneamente la distribuzione a imprese selezionate e di “elevato profilo”. Attorno a Mythos, questo il nome della piattaforma AI, si è creato un clima insolito anche per il settore della sicurezza informatica, dove annunci roboanti e strumenti “rivoluzionari” non mancano mai.

Il lancio di Anthropic Mythos ha fatto passare il messaggio di un modelli linguistico capace di scoprire falle critiche con una precisione mai raggiunta prima, potenzialmente in grado di alterare gli equilibri della sicurezza informatica globale.

Quando però il progetto curl, uno dei software open source più analizzati e sottoposti ad attività di fuzzing, è stato sottoposto all’analisi di Mythos, i risultati hanno raccontato una storia molto diversa.

Cos’è curl, in breve

curl è uno dei software più utilizzati al mondo per trasferire dati tramite rete usando protocolli come HTTP, HTTPS, FTP, SMTP e molti altri. Nasce come strumento da riga di comando – il classico curl utilizzabile nei terminali Linux, macOS e Windows – ma comprende anche una libreria chiamata libcurl, integrata in milioni di applicazioni e dispositivi.

Parliamo di codice presente in smartphone, server, smart TV, console, automobili e dispositivi embedded; oltre 20 miliardi di installazioni distribuite su più di cento sistemi operativi e decine di architetture CPU. Il repository di curl supera oggi le 176.000 linee di codice C, con oltre 1.400 contributori transitati in seno al progetto nell’arco della sua intera storia.

L’ideatore e principale manutentore di curl, Daniel Stenberg, aveva tuonato qualche tempo fa contro le crescenti segnalazioni prodotte con l’AI, decidendo di chiudere il programma bug bounty. Come vedremo nel paragrafo successivo, fuori dal tanto “rumore” – inutile e controproducente – i modelli generativi possono risultare particolarmente efficaci.

Come Mythos è arrivato nel progetto curl

L’accesso iniziale a Mythos doveva passare attraverso Project Glasswing e Linux Foundation, con il supporto dell’iniziativa Alpha Omega. Stenberg aveva accettato di testare direttamente il modello sul codice del progetto: l’accesso a Mythos non è però mai arrivato nelle sue mani. Dopo settimane di ritardi, qualcuno con accesso autorizzato ha eseguito l’analisi per suo conto producendo un report dettagliato.

Negli ultimi mesi curl era già stato analizzato con strumenti AI come AISLE, Zeropath e Codex Security di OpenAI: quelle scansioni avevano portato a centinaia di correzioni, comprese diverse vulnerabilità catalogate poi come CVE. Mythos non è entrato in un terreno vergine pieno di bug facili da scovare: è arrivato dopo una lunga bonifica preventiva.

curl, inoltre, rappresenta probabilmente uno degli ambienti peggiori in cui tentare di impressionare qualcuno con un nuovo scanner AI: se un modello trova problemi reali lì dentro, allora merita attenzione. Se invece produce soprattutto rumore, la narrazione cambia parecchio: l’AI funziona più come un revisore instancabile che come un sostituto umano.

La scansione di Mythos e i risultati reali su curl: un solo problema di sicurezza

Stenberg racconta che il report su curl sviluppato con Mythos evidenzia già nelle prime note un elemento interessante: il sistema riconosce di trovarsi davanti a una codebase estremamente difficile da attaccare. Secondo le valutazioni, le aree più sensibili come HTTP/1, parsing URL e componenti TLS risultavano sostanzialmente prive di problemi evidenti.

Molte categorie di vulnerabilità storicamente devastanti nel software sviluppato in linguaggio C appaiono progressivamente neutralizzate all’interno di curl con anni di hardening manuale: non è un caso se Mythos dichiara esplicitamente di non aver trovato vulnerabilità nella sicurezza della memoria.

Nelle conclusioni definitive, Mythos aveva classificato cinque problemi rilevati all’interno del codice di curl come “confirmed security vulnerabilities“. Dopo revisione manuale del team di sicurezza di curl, il numero si è drasticamente ridotto: a un solo problema!

Tre casi erano falsi positivi legati a comportamenti già documentati nelle API; un altro risulta riclassificato come semplice bug non sfruttabile.

Dei cinque segnalati da Mythos, quindi, soltanto un problema è stato considerato una vulnerabilità autentica che riceverà un CVE a bassa severità con una patch correttiva prevista per la release curl 8.21.0 di giugno 2026.

I modelli linguistici tendono a esprimere conclusioni con sicurezza assoluta: parlare di “confirmed vulnerability“, invece, non significa che la vulnerabilità esista davvero. Significa invece che il modello ha raggiunto un alto livello di confidenza statistica.

Mythos: per l’inventore di curl è marketing aggressivo

Il messaggio che emerge dall’esperienza su curl è che Mythos non sembra aver introdotto una capacità “magica” radicalmente superiore ai concorrenti. Stenberg parla apertamente di hype mediatico e marketing aggressivo.

Ciò non significa che il modello sia scarso. Al contrario: il report è giudicato di alta qualità, con pochi falsi positivi e osservazioni tecnicamente solide. Semplicemente, il vantaggio rispetto agli altri strumenti AI moderni appare incrementale e non rivoluzionario.

Il settore sta però vivendo un cambiamento importante: un ricercatore indipendente con tempo libero e accesso a modelli avanzati può trovare vulnerabilità che fino a pochi anni fa richiedevano team specializzati e settimane di auditing manuale. L’AI abbassa il costo della ricerca offensiva e difensiva allo stesso tempo.

La caccia ai bug sta entrando in una fase nuova: molto più automatizzata, molto più veloce e decisamente più rumorosa.