Mythos fandt én sårbarhed i curl

Eskil Sørensen
05.11.2026 13:23
Ifølge et blogindlæg fra curl‑udvikler Daniel Stenberg har Anthropic‑modellen Mythos gennemført en kildekodeanalyse af curl og identificeret én sårbarhed i projektet.

Den 11. maj 2026 offentliggjorde Daniel Stenberg, stifter og lead developer på open source‑projektet curl, et blogindlæg om en sikkerhedsanalyse udført med AI‑modellen Mythos. Modellen er udviklet af Anthropic og har tidligere været omtalt i medierne som særligt effektiv til at identificere sikkerhedsfejl i kildekode.

Anthropic oplyste i april 2026, at Mythos i første omgang ikke ville blive frigivet bredt, men kun stillet til rådighed for udvalgte aktører. Begrundelsen var, at modellen ifølge virksomheden selv er i stand til at finde alvorlige sårbarheder i eksisterende software, hvilket kunne indebære en risiko, hvis adgangen blev udbredt uden forudgående afhjælpning af fundne problemer.

Curl blev omfattet af initiativet gennem Project Glasswing, hvor Linux Foundation via Alpha‑Omega‑programmet formidlede kontakt til udvalgte open source‑projekter.

Analyse uden direkte adgang til modellen

Ifølge Stenberg blev han som ansvarlig for curl tilbudt adgang til Mythos og accepterede tilbuddet. Adgangen blev imidlertid forsinket, og efter en periode uden fremdrift blev curl‑projektet i stedet tilbudt at modtage en rapport baseret på en analyse udført af en tredjepart med adgang til modellen.

Stenberg oplyser i blogindlægget, at han accepterede denne løsning, da formålet primært var at få gennemført en indledende scanning og vurdering af koden.

Analysen blev udført på curl’s git‑repository, nærmere bestemt master‑branchen på et aktuelt commit. Ifølge rapporten blev cirka 178.000 linjer kode i src/‑ og lib/‑mapperne analyseret.

Curl allerede analyseret med flere AI‑værktøjer

I blogindlægget beskriver Stenberg, at curl forud for Mythos‑analysen allerede er blevet gennemgået med flere andre AI‑baserede værktøjer, herunder AISLE, Zeropath og OpenAI Codex Security. Disse analyser har ifølge ham bidraget til et stort antal fejlrettelser over de seneste 8‑10 måneder, heraf flere bekræftede sårbarheder, som er blevet offentliggjort med CVE‑numre.

Derudover anvender curl‑projektet løbende traditionelle statiske analyseværktøjer, fuzzing samt strenge compiler‑indstillinger. Også AI‑baserede kodegennemgange i forbindelse med pull requests, blandt andet via GitHub Copilot og Augment Code, indgår som supplement til manuel review.

Rapporten: én sårbarhed identificeret

Ifølge Stenberg indeholder Mythos‑rapporten en beskrivelse af de analysemetoder, modellen har anvendt. Rapporten indledes med en bemærkning om, at curl er blandt de mest fuzzede og auditerede C‑kodebaser, og at sandsynligheden for at finde fejl i de centrale kodeveje derfor er lav.

På trods af dette identificerede Mythos én sårbarhed i den analyserede kode. Stenberg angiver ikke i blogindlægget detaljer om sårbarhedens karakter, men konstaterer, at der er tale om et enkelt fund.

Sikkerhedsarbejde som løbende proces

I blogindlægget fremhæver Stenberg, at scanning efter sårbarheder kun er én del af curl‑projektets samlede sikkerhedsarbejde. Han beskriver projektets fokus på at følge etablerede retningslinjer for sikker softwareudvikling og på at kombinere automatiserede værktøjer med manuel gennemgang.

Mythos‑analysen beskrives som endnu et bidrag til dette arbejde. Ifølge Stenberg ændrer resultatet ikke ved curl‑projektets overordnede tilgang til sikkerhed, men indgår som et supplement til de eksisterende processer.

Blogindlægget afsluttes med en konstatering af, at Mythos fandt én sårbarhed i curl, og at dette er resultatet af den første analyse, som projektet har modtaget baseret på modellen.

Læs mere

Information