Năng lực của Mythos, mô hình AI do Anthropic phát triển để tìm lỗ hổng phần mềm, đang gây tranh cãi sau khi công cụ này chỉ phát hiện một lỗ hổng mức rủi ro thấp trong dự án mã nguồn mở curl.

Theo SecurityWeek, Daniel Stenberg, trưởng nhóm phát triển curl, ngày 11/5 (giờ địa phương) đã đăng bài viết trên blog công bố kết quả phân tích curl bằng Mythos do một bên ngoài thực hiện.

Theo bài viết, Mythos đã quét 178.000 dòng mã của curl và nêu ra 5 vấn đề bảo mật. Tuy nhiên, sau khi đối chiếu, nhóm phát triển cho biết 3 trường hợp thực chất đã được đề cập trong tài liệu chính thức, còn 1 trường hợp chỉ là lỗi thông thường chứ không phải lỗ hổng bảo mật.

Kết quả cuối cùng, nhóm phát triển curl chỉ xác nhận một trường hợp là lỗ hổng thực sự. Vấn đề này được xếp vào mức rủi ro thấp và dự kiến sẽ được vá vào cuối tháng 6.

Stenberg thừa nhận các công cụ phân tích mã dựa trên AI “chắc chắn tốt hơn” công cụ truyền thống trong việc phát hiện lỗ hổng. Dù vậy, từ kết quả lần này, ông cho rằng Mythos không phải là mô hình “nguy hiểm” như cách Anthropic mô tả.

Ông cũng nhận định những tuyên bố bị thổi phồng quanh Mythos cho đến nay chủ yếu mang tính marketing. Theo Stenberg, chưa có bằng chứng cho thấy Mythos phát hiện lỗ hổng ở mức vượt trội đáng kể so với các công cụ trước đây.

Stenberg cho biết thêm, các công cụ AI khác như Zeropath, AISLE và OpenAI Codex từng phát hiện khoảng 200-300 vấn đề trong curl, trong đó số lỗ hổng được xác nhận là “từ vài chục trở lên”.

Đánh giá trong giới bảo mật hiện vẫn chia rẽ. Một số ý kiến cho rằng curl là codebase đã được kiểm toán rộng rãi, bao gồm cả bằng nhiều công cụ AI, nên khả năng còn tồn tại các lỗ hổng nghiêm trọng là không cao. Theo nhóm này, kết quả nói trên phản ánh mức độ hoàn thiện về bảo mật của curl nhiều hơn là giới hạn của Mythos.

Ở chiều ngược lại, Eric Cabettas từ Include Security cho biết nhiều tổ chức mà ông trao đổi sau khi tiếp cận Mythos cũng ghi nhận kết quả tương tự như trường hợp của curl.