Criador do Curl Desmascara Modelo de IA Mythos como Truque de Marketing
Daniel Stenberg, criador do Curl, criticou a modelo de IA Mythos da Anthropic, alegando que sua capacidade de encontrar vulnerabilidades foi exagerada. Após testar a ferramenta, Stenberg descobriu apenas uma vulnerabilidade de baixa gravidade, concluindo que o hype em torno do Mythos era principalmente um truque de marketing.
MundiX News·14 de maio de 2026·4 min de leitura·👁 3 views
O criador e principal desenvolvedor do Curl, Daniel Stenberg, testou o modelo de IA "fechado" Mythos da Anthropic e não ficou impressionado. O Mythos encontrou apenas uma vulnerabilidade insignificante no Curl.
Em seu blog, Stenberg criticou o alarde em torno do Mythos, que os desenvolvedores afirmavam ser tão eficaz na busca por vulnerabilidades que seria perigoso lançá-lo ao público. No entanto, após analisar a base de código do Curl, o modelo encontrou apenas uma vulnerabilidade confirmada de baixa gravidade, levando Stenberg a concluir que "todo o hype em torno do modelo foi, em primeiro lugar, um truque de marketing".
Em abril de 2026, a Anthropic anunciou o Claude Mythos Preview e afirmou que o modelo era tão eficaz na busca por vulnerabilidades e na criação de exploits que seu lançamento público criaria um verdadeiro caos. Em vez disso, a empresa lançou o Project Glasswing - um programa fechado no qual cerca de 50 parceiros (incluindo Amazon Web Services, Apple, Cisco, CrowdStrike, Google, Microsoft, Nvidia e outros) receberam acesso ao modelo para encontrar problemas em seus próprios produtos. O acesso ao modelo também foi concedido a um número limitado de organizações e projetos de código aberto por meio da Linux Foundation. Um desses projetos foi o Curl. Stenberg foi prometido acesso ao Mythos, mas não o recebeu: em vez disso, alguém dos participantes do programa simplesmente executou o modelo no repositório Curl e enviou ao desenvolvedor um relatório pronto. Segundo Stenberg, isso não o incomodou:
"Não que eu tivesse muito tempo para experimentar prompts e realizar pesquisas aprofundadas. Já é bom se a ferramenta for capaz de fornecer uma análise inicial de alta qualidade".
O Mythos analisou cerca de 178.000 linhas de código de src/ e lib/ na branch master do Curl e afirmou ter encontrado cinco "vulnerabilidades confirmadas". No entanto, após a verificação manual, a equipe do Curl reduziu essa lista a um problema real.
Três descobertas foram falsos positivos - o modelo apontou para restrições que já estão descritas na documentação da API. Outro caso foi considerado pelos desenvolvedores como um bug comum, e não uma vulnerabilidade. Como resultado, o único problema confirmado receberá um identificador CVE com um baixo nível de gravidade e será divulgado junto com o lançamento do Curl 8.21.0 no final de junho de 2026.
"A vulnerabilidade definitivamente não é do tipo que fará alguém ter um ataque cardíaco", ironiza Stenberg. Ao mesmo tempo, o desenvolvedor enfatiza: o Mythos realmente descobriu uma série de outros erros não relacionados à segurança, e os próprios relatórios foram compilados com alta qualidade. No entanto, ele não viu nada revolucionário no trabalho do modelo. Stenberg observa:
"Não vejo nenhuma evidência de que este sistema esteja procurando problemas em um nível fundamentalmente mais alto do que outras ferramentas antes do Mythos".
Stenberg ressalta separadamente que o próprio Curl tem sido testado ativamente por ferramentas de IA há muito tempo. Nos últimos meses, a equipe usou AISLE, Zeropath e OpenAI Codex Security para esses fins. Segundo o desenvolvedor, essas ferramentas ajudaram a corrigir de 200 a 300 bugs, e algumas descobertas receberam identificadores CVE. Ao mesmo tempo, Stenberg escreve que não considera a IA moderna inútil. Pelo contrário, ele reconhece que os analisadores de código de IA já são notavelmente superiores às soluções estáticas clássicas:
"Qualquer IA moderna agora está fazendo um bom trabalho na busca por vulnerabilidades. Caos de alta qualidade é uma realidade".
No entanto, de acordo com o desenvolvedor, esses modelos ainda não sabem como encontrar classes fundamentalmente novas de problemas:
"A IA encontra os tipos de erros familiares e há muito conhecidos. Apenas agora ele está descobrindo novos exemplos de tais bugs".
Na verdade, o desenvolvedor escreve que, por enquanto, a IA não "inventa" novas classes de vulnerabilidades, mas apenas escala melhor a busca por problemas já conhecidos. Stenberg também lembrou que o Curl é um dos projetos C mais testados do mundo. O código da biblioteca tem sido executado por meio de fuzzing, analisadores estáticos e auditorias de segurança por anos. O projeto já está associado a 188 CVEs, e o próprio Curl tem mais de 20 bilhões de instalações e funciona em 110 sistemas operacionais e 28 arquiteturas. Como resultado, Stenberg chama o Mythos de "um truque de marketing incrivelmente bem-sucedido", embora reconheça que a IA já se tornou uma ferramenta importante para pesquisadores de segurança da informação, e no futuro esses sistemas serão usados ainda mais ativamente.
O criador e principal desenvolvedor do Curl, Daniel Stenberg, testou o modelo de IA "fechado" Mythos da Anthropic e não ficou impressionado. O Mythos encontrou apenas uma vulnerabilidade insignificante no Curl.
Em seu blog, Stenberg criticou o alarde em torno do Mythos, que os desenvolvedores afirmavam ser tão eficaz na busca por vulnerabilidades que seria perigoso lançá-lo ao público. No entanto, após analisar a base de código do Curl, o modelo encontrou apenas uma vulnerabilidade confirmada de baixa gravidade, levando Stenberg a concluir que "todo o hype em torno do modelo foi, em primeiro lugar, um truque de marketing".
Em abril de 2026, a Anthropic anunciou o Claude Mythos Preview e afirmou que o modelo era tão eficaz na busca por vulnerabilidades e na criação de exploits que seu lançamento público criaria um verdadeiro caos. Em vez disso, a empresa lançou o Project Glasswing - um programa fechado no qual cerca de 50 parceiros (incluindo Amazon Web Services, Apple, Cisco, CrowdStrike, Google, Microsoft, Nvidia e outros) receberam acesso ao modelo para encontrar problemas em seus próprios produtos. O acesso ao modelo também foi concedido a um número limitado de organizações e projetos de código aberto por meio da Linux Foundation. Um desses projetos foi o Curl. Stenberg foi prometido acesso ao Mythos, mas não o recebeu: em vez disso, alguém dos participantes do programa simplesmente executou o modelo no repositório Curl e enviou ao desenvolvedor um relatório pronto. Segundo Stenberg, isso não o incomodou:
"Não que eu tivesse muito tempo para experimentar prompts e realizar pesquisas aprofundadas. Já é bom se a ferramenta for capaz de fornecer uma análise inicial de alta qualidade".
O Mythos analisou cerca de 178.000 linhas de código de src/ e lib/ na branch master do Curl e afirmou ter encontrado cinco "vulnerabilidades confirmadas". No entanto, após a verificação manual, a equipe do Curl reduziu essa lista a um problema real.
Três descobertas foram falsos positivos - o modelo apontou para restrições que já estão descritas na documentação da API. Outro caso foi considerado pelos desenvolvedores como um bug comum, e não uma vulnerabilidade. Como resultado, o único problema confirmado receberá um identificador CVE com um baixo nível de gravidade e será divulgado junto com o lançamento do Curl 8.21.0 no final de junho de 2026.
"A vulnerabilidade definitivamente não é do tipo que fará alguém ter um ataque cardíaco", ironiza Stenberg. Ao mesmo tempo, o desenvolvedor enfatiza: o Mythos realmente descobriu uma série de outros erros não relacionados à segurança, e os próprios relatórios foram compilados com alta qualidade. No entanto, ele não viu nada revolucionário no trabalho do modelo. Stenberg observa:
"Não vejo nenhuma evidência de que este sistema esteja procurando problemas em um nível fundamentalmente mais alto do que outras ferramentas antes do Mythos".
Stenberg ressalta separadamente que o próprio Curl tem sido testado ativamente por ferramentas de IA há muito tempo. Nos últimos meses, a equipe usou AISLE, Zeropath e OpenAI Codex Security para esses fins. Segundo o desenvolvedor, essas ferramentas ajudaram a corrigir de 200 a 300 bugs, e algumas descobertas receberam identificadores CVE. Ao mesmo tempo, Stenberg escreve que não considera a IA moderna inútil. Pelo contrário, ele reconhece que os analisadores de código de IA já são notavelmente superiores às soluções estáticas clássicas:
"Qualquer IA moderna agora está fazendo um bom trabalho na busca por vulnerabilidades. Caos de alta qualidade é uma realidade".
No entanto, de acordo com o desenvolvedor, esses modelos ainda não sabem como encontrar classes fundamentalmente novas de problemas:
"A IA encontra os tipos de erros familiares e há muito conhecidos. Apenas agora ele está descobrindo novos exemplos de tais bugs".
Na verdade, o desenvolvedor escreve que, por enquanto, a IA não "inventa" novas classes de vulnerabilidades, mas apenas escala melhor a busca por problemas já conhecidos. Stenberg também lembrou que o Curl é um dos projetos C mais testados do mundo. O código da biblioteca tem sido executado por meio de fuzzing, analisadores estáticos e auditorias de segurança por anos. O projeto já está associado a 188 CVEs, e o próprio Curl tem mais de 20 bilhões de instalações e funciona em 110 sistemas operacionais e 28 arquiteturas. Como resultado, Stenberg chama o Mythos de "um truque de marketing incrivelmente bem-sucedido", embora reconheça que a IA já se tornou uma ferramenta importante para pesquisadores de segurança da informação, e no futuro esses sistemas serão usados ainda mais ativamente.
