20 miljarder instanser av filöverföringsbiblioteket Curl kan försiktigt andas ut. Någon har bussat den omtalade buggsniffaren Mythos på Curl, men den lyckades inte ta hem ett särskilt stort byte. 

Den hittade en enda sårbarhet, som klassades som ”mild”. Den kommer sedvanligt att hemlighållas till nästa release av Curl.

Nyheten om Mythos exploderade i media för en månad sedan. Några har spått att Mythos kommer att leda till en ”cyberapokalyps” genom att den kommer att kunna låta vem som helst kunna upptäcka och utnyttja sårbarheter för att hacka sig in i programvara. 

Daniel Stenberg sticker ut hakan.

Daniel Stenberg

– Hela världen verkade tappa vettet. Är det här jordens undergång? Mycket lyckad marknadsföring, helt klart.

Men ändå. Mythos har hittat defekter i de stora operativsystemen och webbläsarna. För tre veckor sedan redovisade Mozilla att Mythos hittat inte mindre än 271 sårbarheter i version 150 av Firefox, varav 180 svåra, 80 moderata och 11 milda. Mozilla rättade i april totalt 423 sårbarheter i olika Firefoxversioner, att jämföra med ett rekord på 31 i fjol.

Därför har förväntningarna i Curlteamet legat på topp.

– Ännu en chans att hitta saker att förbättra och buggar att fixa. För att göra curl ännu bättre, skriver Daniel Stenberg.

Curl blev tidigt utlovad access till Mythos. Det gick en månad och inget hände. Så till slut i onsdags var det någon välgörare – Daniel Stenberg tänker inte berätta vem – som förbarmade sig och erbjöd sig att låta Mythos ta en sniff på Curlkoden.

Utfallet blev som sagt något av en antiklimax – en sårbarhet, mild. Som en duktig katt släpade Mythos faktiskt fram fem fynd och kallade dem ”bekräftade sårbarheter”, men teamet ratade fyra.

Hur förklarar du att Mythos hittade 271 sårbarheter i Firefox men bara en i Curl?

– Det förklarar jag inte alls, för jag vet inte tillräckligt mycket om saken, säger Daniel Stenberg.

En förklaring kan vara att Firefox är mycket större. En annan att den kanske gick igenom mycket fler scanningar – Mozilla har fortfarande inte publicerat den fulla berättelsen om sin dust med Mythos.

– Min personliga slutsats kan ändå inte bli någon annan än att den stora hajpen kring den här modellen huvudsakligen var marknadsföring. Inget tyder på att det här systemet hittar mer avancerade fel än de verktyg som fanns innan Mythos, skriver Daniel Stenberg. 

Daniel Stenberg har inget emot att sticka ut hakan. Det är delvis strategiskt. Han vill gärna ha fler buggrapporter.

– Folk kommer nu att vilja visa att jag har fel och köra ännu mer AI på Curl.

En förklaring till det ynkliga fyndet kan vara att Curl redan gått genom skärselden.  

För 8–10 månader sedan började stora språkmodeller att bli duktiga på att hitta buggar i programvara. Och projektet Curl var snabbt med att börja använda AI-baserade verktyg. De hämtas idag huvudsakligen från Aisle, Zeropath, OpenAI, Github och Augment. 

Med hjälp av dessa verktyg – och mänskliga ögon  – har ett par, tre hundra buggar redan rensats från Curl.  

Det finns kanske helt enkelt inte så många buggar kvar att hitta för Mythos?

Elektroniktidningen skrev mycket om AI-debugging i höstas, när det var en nyhet: AI visade sig kunna användas för att gräva upp sårbarheter i programkod – vältestad sådan – i stort antal – till ett överkomligt pris. 

Daniel Stenberg betonar att han inte alls tvivlar på AI-verktygens effektivitet, tvärtom.

– AI-drivna kodanalysatorer är betydligt bättre på att hitta säkerhetsbrister och misstag i källkod än vad traditionella kodanalysatorer någonsin var. Alla moderna AI-modeller är bra på det här nu. Vem som helst med tid och lite experimentlusta kan hitta säkerhetsproblem nuförtiden. 

– Alla projekt som inte har skannat sin källkod med AI-drivna verktyg kommer troligen att hitta en stor mängd brister, buggar och möjliga sårbarheter med den här nya generationens verktyg. Mythos kommer att göra det, och många andra också.