Curl patcht bij komende release recordaantal door AI gevonden kwetsbaarheden

In dit artikel:

Curl-maintainer Daniel Stenberg meldt dat de volgende Curl-release een recordaantal kwetsbaarheden oplost die door AI-tools zijn gevonden. Tot nu toe zijn halverwege de releasecyclus al elf bevestigde problemen gepatcht; daarnaast liggen drie onbevestigde rapporten klaar en stromen er dagelijks nieuwe meldingen binnen. Onder de gevonden fouten zitten zowel de oudste ooit in Curl aangetroffen kwetsbaarheid als een specifiek probleem dat door het AI-model Mythos werd geïdentificeerd.

Curl is extreem wijdverspreid — Stenberg zegt dat de tool op meer dan twintig miljard instances draait, op ruim 110 besturingssystemen en 28 CPU-architecturen — en veiligheid heeft daardoor grote impact. De huidige golf van patches evenaart en overschrijdt daarmee eerdere records; het vorige hoogste aantal in één release dateert uit begin 2016 na een audit van Cure53.

De meeste nieuwe vindplaatsen kwamen via verschillende AI‑modellen: fors verbeterde, breed gebruikte tools vinden veel problemen die eerder onopgemerkt bleven. Mythos, een door Anthropic ontwikkeld model dat recent veel aandacht kreeg omdat het goed kwetsbaarheden opspoort, ontdekte tijdens een scan van de Git-repository één low-severity probleem (de analyse besloeg ongeveer 178.000 regels code). Stenberg benadrukt echter dat de aandacht op Mythos niet alles verklaart — er bestaan meerdere sterke modellen — en noemt deze periode de meest intense sinds zijn onderhouderschap.

Kortom: AI-gestuurde code-analyse legt significant meer lekken bloot in een van ’s werelds meest gebruikte netwerktools, wat leidt tot een ongebruikelijke concentratie aan securitypatches in één release.