Mythos, la piattaforma AI sviluppata da Anthropic (la stessa azienda dietro Claude), era stata annunciata con toni quasi apocalittici. Un modello capace di scovare vulnerabilità nel codice sorgente di qualsiasi software con una precisione tale da giustificarne la distribuzione limitata solo a imprese selezionate e di alto profilo. Un clima di attesa che, anche per gli standard del settore della sicurezza informatica, dove gli annunci roboanti non mancano mai, appariva decisamente fuori scala. Quando però Mythos è stato messo alla prova su curl, uno dei progetti open source più testati e analizzati al mondo, i risultati hanno raccontato una storia parecchio diversa da quella promessa.
Per chi non lo sapesse, curl è uno degli strumenti software più diffusi in assoluto per trasferire dati in rete tramite protocolli come HTTP, HTTPS, FTP, SMTP e tanti altri. Non si parla solo del classico comando da terminale usato su Linux, macOS e Windows: curl comprende anche una libreria chiamata libcurl, integrata in milioni di applicazioni e dispositivi. Smartphone, server, smart TV, console, automobili, dispositivi embedded. Le installazioni superano i 20 miliardi, distribuite su oltre cento sistemi operativi e decine di architetture CPU. Il repository conta più di 176.000 linee di codice C, con oltre 1.400 contributori che hanno partecipato al progetto nel corso della sua storia. Daniel Stenberg, ideatore e principale manutentore di curl, aveva già preso posizione tempo fa contro le segnalazioni prodotte con l’AI, arrivando persino a chiudere il programma bug bounty per l’eccesso di rumore inutile.
Come Mythos è arrivato ad analizzare curl e cosa ha trovato davvero
L’accesso a Mythos doveva passare attraverso Project Glasswing e Linux Foundation, con il supporto dell’iniziativa Alpha Omega. Stenberg aveva accettato di testare direttamente il modello sul codice del progetto, ma l’accesso non è mai arrivato nelle sue mani. Dopo settimane di ritardi, qualcuno con accesso autorizzato ha eseguito l’analisi per suo conto, producendo un report dettagliato. Va detto che curl non era certo un terreno vergine: negli ultimi mesi era già stato passato al setaccio da strumenti AI come AISLE, Zeropath e Codex Security di OpenAI, con centinaia di correzioni e diverse vulnerabilità catalogate come CVE. Mythos, insomma, è arrivato dopo una lunga bonifica preventiva, il che rende curl probabilmente uno degli ambienti peggiori in cui tentare di fare bella figura con un nuovo scanner AI.
Il report prodotto da Mythos riconosce fin dalle prime note di trovarsi davanti a una codebase estremamente difficile da attaccare. Le aree più sensibili, come HTTP/1, parsing URL e componenti TLS, risultavano sostanzialmente prive di problemi evidenti. Molte categorie di vulnerabilità storicamente devastanti nel software scritto in linguaggio C appaiono progressivamente neutralizzate dentro curl grazie ad anni di hardening manuale. Non a caso, Mythos dichiara esplicitamente di non aver trovato vulnerabilità nella sicurezza della memoria.
Il modello aveva classificato cinque problemi come “confirmed security vulnerabilities”. Dopo la revisione manuale del team di sicurezza di curl, il numero si è ridotto drasticamente: un solo problema reale. Tre casi erano falsi positivi legati a comportamenti già documentati nelle API, un altro è stato riclassificato come semplice bug non sfruttabile. Dei cinque segnalati, soltanto uno è stato considerato una vulnerabilità autentica, che riceverà un CVE a bassa severità con una patch correttiva prevista per la release curl 8.21.0 di giugno 2026. Vale la pena ricordare che quando i modelli linguistici parlano di “confirmed vulnerability” non significa che la vulnerabilità esista per forza: significa che il modello ha raggiunto un alto livello di confidenza statistica.
Marketing aggressivo o strumento utile? Il verdetto di Stenberg
Stenberg parla apertamente di hype mediatico e marketing aggressivo attorno a Mythos. Il che non significa che il modello sia scarso, anzi: il report viene giudicato di alta qualità, con pochi falsi positivi e osservazioni tecnicamente solide. Semplicemente, il vantaggio rispetto agli altri strumenti AI moderni appare incrementale e non rivoluzionario. Nessuna capacità “magica” radicalmente superiore alla concorrenza.
Il settore della sicurezza informatica sta comunque vivendo un cambiamento importante. Un ricercatore indipendente con tempo libero e accesso a modelli avanzati può oggi trovare vulnerabilità che fino a pochi anni fa richiedevano team specializzati e settimane di auditing manuale. L’intelligenza artificiale abbassa il costo della ricerca offensiva e difensiva allo stesso tempo, e la caccia ai bug sta entrando in una fase nuova: molto più automatizzata, molto più veloce e decisamente più rumorosa.
Rimani aggiornato seguendoci su Google News!
