Twórca curla odpalił Mythosa na swoim kodzie. Tego Mythosa, który jest “zbyt niebezpieczny, aby udostępnić go publicznie”…

Daniel Stenberg uzyskał dostęp do Mythosa, który jeszcze nie jest dostępny publicznie. Nie jest dostępny publicznie, a media ochoczo podchwyciły narrację kolportowaną przez Anthropic. “To model AI, który jest zbyt niebezpieczny żeby go udostępnić publicznie”.

No więc Mythos mielił, mielił i mielił 178 tysięcy linijek kodu curla. Ostatecznie znalazł pięć “potwierdzonych podatności”.

❌ Ale trzy z nich okazały się być tzw. false positives (czyli żadne podatności)
❌ Jedna luka okazała się zwykłym bugiem (bez implikacji bezpieczeństwa)
❌ ✅  Została jedna, którą team curl określił jako ‘niskie ryzyko‘

Czy to o czymś świadczy? No na pewno o tym, że nie będzie zawsze tak, że zapuścimy narzędzie AI za wiele dolarów, a ono pokaże nam magicznie masę podatności :)

Czy więc narzędzia AI w cyberbezpieczeństwie to marketingowa ściema? Też nie. Daniel wspomina również, że w 2026 roku otrzymał rekordowo dużo rzeczywistych, dobrze opisanych podatności w curlu. Co więcej, najprawdopodobniej dużo z tych raportów zostało przygotowanych z “pewnym użyciem AI”. Przy czym bardziej chodzi tutaj o użycie AI jako narzędzia wspierającego cały proces lokalizowania oraz opisywania podatności.

Podobnie wyglądało to w przypadku ostatnio głośnej luki w Linuksie (Copy Fail). Nie była to “podatność znaleziona przez AI”, ale znaleziona ze wsparciem AI. To istotne rozróżnienie:

Was [Copy Fail] AI-found?

AI-assisted. The starting insight — that splice() hands page-cache pages into the crypto subsystem and that scatterlist page provenance might be an under-explored bug class — came from human research by Taeyang Lee at Xint. From there, Xint Code scaled the audit across the entire crypto/ subsystem in roughly an hour. Copy Fail was the highest-severity finding in the run.

Czyli w skrócie to badacz namierzył ręcznie ciekawą lukę, która jednak miała minimalną szansę na wykorzystanie w realnym scenariuszu. Poprosił więc AI żeby poszukało podobnych luk – w takich a takich komponentach. Udało się, czego efektem jest właśnie Copy Fail.

A co z tym marketingiem Mythosa? Prawda jest taka, że jeśli ktoś jest ekspertem w cybersec, umie używać AI oraz ma trochę samozaparcia, będzie osiągał efekty znacznie, znacznie lepsze niż jeszcze kilka lat temu.

PS
Mikro niespodzianka dla uważnych / szybkich. Tylko dla pierwszych 3 osób mamy kod -73% na nowe, praktyczne szkolenie sekuraka z AI dla adminów. Użyj tego linka (kto pierwszy ten lepszy :)

~Michał Sajdak