cURL 创建者表示,Anthropic 的错误搜寻神话是有史以来最伟大的营销噱头
一句话看懂:知名网络工具 cURL 的创建者 Daniel Stenberg 公开质询 Anthropic 旗下 Mythos 错误搜寻模型的实际效果,称其在 cURL 代码库中仅发现一个低严重性漏洞,认为围绕该模型的大规模宣传更偏向营销而非技术突破。
事件核心:发生了什么
Daniel Stenberg 通过博客表示,他通过 Anthropic 的 Project Glasswing 项目申请使用其 Mythos 模型,但并未获得直接访问权,而是由第三方运行模型后生成了一份报告。这份报告声称在 cURL 的 Git 仓库中发现了 5 个“已确认的安全漏洞”。经过 Stenberg 及 cURL 安全团队的数小时审查,最终确认了 1 个低严重性漏洞,计划在 6 月底随 cURL 8.21.0 发布 CVE。其余 4 个项目中,3 个是误报,1 个仅为普通 bug。Stenberg 直言,这份结果“感觉像什么都没有”,并认为 Mythos 在漏洞发现能力上并未明显超过其他现代 AI 代码分析工具。
为什么重要
Anthropic 在推出 Mythos 时,将其描述为能够显著提升代码安全性、寻找高级漏洞的突破性模型,引起了开源生态和企业的广泛关注。然而,cURL 作为全球使用最广泛的基础工具库之一,其代码库本身就经过严格的社区审核和多年迭代,漏洞密度极低,恰是对模型真实能力的有力试金石。Stenberg 的公开表态,实际上撕下了 Anthropic 以此为卖点的“神话”光环,暗示当前 AI 代码审计模型的技术水平,远未达到厂商宣传中对传统工具的“代际超越”。这一质疑将对安全市场、开发者信任度及 AI 工具的估值逻辑产生直接冲击。
对用户/开发者/创作者的影响
对于开发者而言,Stenberg 的结论提醒不要盲目信任 AI 安全工具的“神话”式宣传。如果一家追求极致声誉的项目主管对结果感到失望,那么其他团队在实际使用前应保持谨慎,需要自行评估假阳性率和误报比例。对于企业采购者来说,在选用 AI 代码审计产品时,应要求厂商提供基于真实开源项目(如 cURL、Linux 内核等)的横向对比数据,而非营销材料。对于更关注 AI 技术应用的创作者和内容生产者,这一事件提供了一个重要警示:AI 工具的宣传效果可能远超实际技术效能,理性评估应基于客观的公开验证结果。
值得关注的后续
第一,Anthropic 是否会对 Stenberg 的评论做出公开回应,或提供更多关于 Mythos 在其它开源项目上的测试数据。第二,Linux 基金会是否会因这次“翻车”调整 Glasswing 项目的准入标准或验证流程。第三,其他 AI 代码审计工具(如基于 GPT-4 的各类安全扫描方案)是否会借此机会公开自身在 cURL 或同类项目上的表现对比,以争夺市场份额。
来源:Slashdot
