صرح دانيال ستنبرغ، المطور الرئيسي لمشروع curl، بأن نموذج Mythos من Anthropic تمكن من اكتشاف ثغرة أمنية واحدة مؤكدة في الشيفرة المصدرية للمشروع، وذلك بعد أن صنف تقرير أولي 5 نتائج على أنها ثغرات أمنية مؤكدة.
وأوضح ستنبرغ أن الفريق الأمني لمشروع curl أجرى مراجعة يدوية دقيقة للنتائج؛ خلصت إلى أن ثلاثاً منها كانت تنبيهات كاذبة تتعلق بسلوكيات موثقة مسبقاً في واجهات البرمجة APIs، بينما صُنفت النتيجة الرابعة كخلل برمجي عادي لا يرتقي لمرتبة الثغرة الأمنية.
ومن المقرر نشر الثغرة الوحيدة المؤكدة ضمن معرف CVE ذي خطورة منخفضة، بالتزامن مع إطلاق إصدار curl 8.21.0 المرتقب في أواخر يونيو 2026، مع التحفظ على تفاصيلها الفنية حتى موعد الإصدار الرسمي.
يأتي هذا الاختبار في إطار إتاحة محدودة لنموذج Mythos عبر مبادرة Project Glasswing التي أطلقتها Anthropic، والهادفة لتوظيف النموذج في مهام دفاعية تشمل فحص البرمجيات مفتوحة المصدر Open Source وأنظمة الشركاء. وكانت الشركة قد روجت للنموذج بقدرته الفائقة على اكتشاف عدد كبير من ثغرات اليوم الصفري، ما أثار جدلاً واسعاً حول دور الذكاء الاصطناعي في تأمين البرمجيات.
إلا أن تجربة curl قدمت رؤية أكثر تحفظاً؛ إذ أشار ستنبرغ إلى أنه لم يتصل مباشرة بالنموذج، بل تسلم تقرير فحص أعده طرف ثالث يملك صلاحية الوصول، وشمل التقرير تحليلاً لنحو 178 ألف سطر من الكود في مجلدي src وlib داخل مستودع curl.
ونوه ستنبرغ إلى أن المشروع ليس غريباً على تقنيات الذكاء الاصطناعي؛ فقد استخدم سابقاً أدوات مثل AISLE وZeropath وOpenAI Codex Security، بالإضافة إلى أدوات الفحص التقليدية واختبارات القوة المستمرة. وقد ساهمت هذه الأدوات خلال الأشهر العشرة الماضية في تنفيذ مئات الإصلاحات البرمجية واكتشاف عدة ثغرات نُشرت كمعرفات CVE.
ويرى ستنبرغ أن أدوات الذكاء الاصطناعي الحديثة باتت فعالة في رصد الأخطاء والثغرات التقليدية، لكنها لا تغني عن التحقق البشري. وأكد أن هذه التجربة تحديداً لم تقدم دليلاً على تفوق نوعي واضح لنموذج Mythos مقارنة بأدوات التحليل الأخرى التي اعتمدها المشروع سابقاً.
كما كشف التقرير عن وجود نحو 20 خللاً غير مصنف كثغرات أمنية، ويعمل الفريق على معالجتها تدريجياً، معتبراً أن الفائدة العملية للنموذج تظل قائمة رغم أن الزخم الإعلامي المحيط بقدراته قد يفوق النتائج الواقعية التي ظهرت في هذه الحالة.
