号称“危险”的AI扫描17. 6 万行代码后，仅揪出一个低危漏洞

最近，AI安全领域发生了一件颇有意思的事。Anthropic公司那款备受关注的AI安全分析模型Mythos，在开源社区里经历了一次意料之外的“实战检验”。官方之前曾大力宣传其发现源代码漏洞的能力，甚至为此推迟了发布，但结果呢？在对全球知名的网络传输工具curl进行实测后，Mythos的表现只能说差强人意——面对超过17.6万行代码的扫描，最终确认的安全漏洞只有一个，而且级别还是“低危”。

发起这次测试的，正是curl项目的创始人Daniel Stenberg。他通过相关渠道获得了Mythos的有限测试权限，决定给这个安装量超过200亿次的“老将”做一次深度体检。要知道，curl的代码库在安全工程方面向来以高标准著称，不仅经过数百位贡献者的长期打磨，还持续接受各类自动化扫描和昂贵的专业审计，其坚固程度可见一斑。

测试刚开始时，场面似乎很乐观。Mythos的初始报告列出了“5个已确认的安全漏洞”，但经过curl安全团队几个小时的人工复核，这个数字迅速缩水。其中3个被判定为误报，只是符合文档描述的正常行为；另外1个被定性为普通bug，不构成安全威胁。最终，只剩下一个严重程度被评为“低”的漏洞站住了脚。

面对这个结果，Stenberg的评价相当直接。他认为，Anthropic之前宣传的“危险级能力”，更像是一次成功的市场营销。事实上，在Mythos出现之前，curl团队早已利用多款AI安全工具修复了数百个bug。早期的工具就像在果园里采摘“低垂的果实”，相对容易发现明显问题。但随着代码库日益完善，AI想要挖掘出深层、新型的漏洞，难度已经大大增加。

当然，这并不意味着AI工具一无是处。Stenberg也肯定了它们的独特价值。相比于传统的静态分析工具，像Mythos这样的AI模型在理解复杂的协议规范、识别注释与代码不一致、以及模拟特定环境下的配置检查等方面，确实展现出显著优势。它们更像一个知识渊博、善于总结的助手，虽然提出的修复建议不一定每次都完美，但能提供新的视角和思路。

AI审计的现状与启示

这次实测给整个行业提了个醒：AI在代码审计领域带来了效率的飞跃，但目前它的能力边界依然清晰。它更擅长发现“已知类型”错误的具体实例，而非创造全新的漏洞检测逻辑。换句话说，AI是在用我们教给它的模式去寻找问题，还谈不上真正的“洞察”。

因此，在保障核心安全方面，那些经过时间考验的工程实践依然不可替代。比如构建防御性的基础设施、设定严格的数值上限、进行深度防御设计等，这些才是更可靠的基石。AI工具可以成为强大的辅助，但绝不能替代严谨的安全工程文化和扎实的基础工作。

说到底，技术的演进总是螺旋上升的。一次测试的结果不足以否定一个方向，但它清晰地指出了当前所处的阶段。对于开发者而言，合理利用AI工具提升效率，同时坚守安全工程的基本盘，或许才是当下最务实的选择。