Anthropics Mythos findet Sicherheitslücke in curl

Der Hype um Mythos

Im April 2026 sorgte Anthropic mit der Ankündigung von Mythos für Aufsehen: Ein KI-Modell, das angeblich gefährlich gut darin ist, Sicherheitslücken in Quellcode zu finden. So gut, dass Anthropic es nur an ausgewählte Unternehmen freigab, um kritische Projekte vor einem Ansturm von Schwachstellen-Suchern zu schützen.

Der curl-Test

Daniel Stenberg, der Hauptentwickler von curl, erhielt überraschend Zugang zu einem Mythos-Scan seines Projekts. Curl ist eines der am häufigsten auditierten C-Projekte überhaupt – über 178.000 Zeilen Code, regelmäßig mit OSS-Fuzz, Coverity und CodeQL geprüft. Der Mythos-Report bestätigte: In den heißesten Pfaden (HTTP/1, TLS, URL-Parsing) fand sich nichts.

Was Mythos tatsächlich fand

Stattdessen entdeckte Mythos einen subtilen Bug im weniger frequentierten SMB-Code. Die Schwachstelle wurde als CVE bestätigt und innerhalb von 24 Stunden behoben. Der spannendste Befund: Mythos identifizierte das Problem nicht durch reine Mustererkennung, sondern durch ein mehrstufiges Analyseverfahren, das komplexe Codepfade verfolgte.

Link: Original bei Daniel Haxx