Anthropic用于发现软件漏洞的AI模型Mitro,正因其在开源项目中的实际表现而受到质疑。外界关注的焦点在于,这款被寄予厚望的代码分析模型,在curl项目中最终仅确认出1个低风险漏洞。
据SecurityWeek近日报道,curl首席开发者Daniel Stenberg于11日(当地时间)在个人博客中披露外部使用Mitro分析curl代码库的结果。Mitro对约17.8万行代码完成分析后,共上报5项问题。
不过,经进一步核查,这5项问题中有3项已在官方文档中记录,属于已知问题;另有1项被认定为普通Bug,并非安全漏洞。最终,经curl开发团队确认的真实漏洞仅1项,且风险等级为低,计划于6月底通过补丁修复。
Daniel Stenberg表示,AI驱动的代码分析工具在发现漏洞方面“确实可能优于”传统工具,但就此次结果而言,Mitro并没有达到Anthropic此前所描述的那种“危险”程度。
他还直言,迄今围绕Mitro的“过度宣传主要是营销”,且没有证据显示,Mitro在漏洞发现能力上比以往工具“更强或更先进”。
Daniel Stenberg同时提到,Zeropath、AISLE、OpenAI Codex等其他AI工具此前曾在curl中检出约200至300项问题,其中“至少有数十项”最终被确认为漏洞。
对于这一结果,安全行业内部也出现了不同解读。部分观点认为,curl代码库此前已接受包括AI工具在内的广泛审计,重大漏洞本就难以残留,因此这次结果更多体现的是curl较高的安全成熟度,而非Mitro能力的上限。
不过,Include Security的Eric Cabretas表示,据其与多家接触过Mitro的机构交流后了解,这些机构得到的结果也与curl项目大致相似。
记者信息
Chi-gyu Hwang
delight@d-today.co.kr