世界の技術ニュースをリアルタイムでキャッチし、日本語でわかりやすく発信。AI・半導体・スタートアップから規制動向まで、グローバルテックシーンの「今」をお届けします。

AIがcurlの脆さを見つけた？ Mythosが示した「脆弱性発見」の今

記事のキーポイント

Anthropicの新AIモデル「Mythos」が、curlのソースコードから脆弱性候補を発見した
ただし、AIが挙げた5件のうち、最終的に確認された脆弱性は1件だけ
残りはfalse positive（誤検知）や、脆弱性ではなく単なるbugだった
curl開発チームは、AIによるコード監査をすでに実運用しており、今回もその延長線上で検証した
著者の見立てでは、Mythosは「すごいけど、宣伝文句ほど特別ではない」とのこと
それでもAIによるソースコード解析は、従来のツールよりかなり有効で、今後も重要性は増すと強調している

まず何が起きたのか

curlの生みの親であるDaniel Stenberg氏が、AIモデル「Mythos」によるcurlのコード解析結果を紹介した記事です。

MythosはAnthropicが「セキュリティの穴を見つけるのが異様に得意」と話題にした新しいAIモデルで、2026年4月にはかなり大きな注目を集めました。要するに、「AIがソースコードを読んで、危ないところを見つける能力がかなり高いらしい」という話です。

ただし、Stenberg氏の反応はかなり冷静です。
結論から言うと、curlで実際に見つかった脆弱性は1件。しかも、curl側はすでに多くのAIツールや通常の静的解析ツール、fuzzing（ランダム入力を大量に食わせて異常を探す手法）などを何年も回しているので、「ものすごい新発見が山ほど出る」という感じではなかったようです。

このあたり、かなり現実的で好きです。AIの話題はつい盛られがちですが、実際の開発現場では「派手な宣伝」より「地道に1件でも見つかること」が価値なんですよね。

curlはそもそも、かなり守りが固い

記事の文脈を理解するうえで大事なのが、curlがかなり鍛え上げられたプロジェクトだという点です。

curlは、Webでデータをやり取りするための超有名なソフトウェアで、ライブラリ版のlibcurlも含めると、スマホ、ルーター、車載機器、テレビ、サーバーなど、ものすごく広く使われています。記事では、20億を超えるインスタンスに入っている、110以上のOS、28のCPUアーキテクチャで動くとされています。
正直、もはや「インターネットの空気」の一部みたいな存在です。

そんな巨大プロジェクトなので、セキュリティ対策も並大抵ではありません。

静的解析ツールの継続利用
厳しめのcompiler options
fuzzing
AIツールによるレビュー
人間のレビュー

こうしたものを全部重ねています。
Stenberg氏は、AIレビューは人間の代わりではなく、人間を補助するものだと強調しています。これは本当に大事なポイントだと思います。AIは便利ですが、最後の責任まで丸投げできるものではない、という当たり前をちゃんと守っている感じがします。

Mythosの結果は「5件」だったが……

Mythosの報告では、最初に「Confirmed security vulnerabilities」5件が挙げられました。

でも、curlセキュリティチームが中身を精査した結果はこうでした。

1件: 本当に脆弱性だった
3件: false positive（誤検知）
1件: 脆弱性ではなく、単なるbug

つまり、AIが「これは危ない！」と自信満々に言った5件のうち、最終的に脆弱性として残ったのは1件だけです。
ここ、かなり面白いところです。AIの言い方は強気でも、現場の人間が確認すると話が変わる。まさに「AIは万能ではないけど、有能ではある」という現実が見えます。

とはいえ、1件でも見つかったのは価値があるのも事実です。しかもその脆弱性は、次のcurl 8.21.0で低severityのCVEとして公開予定とのこと。severity low、つまり深刻度は高くないけれど、放置はしない、という扱いです。

それでもAI解析はかなり役に立つ

記事の後半でStenberg氏が言っているのは、Mythosを過大評価しすぎるのは違うけれど、AIベースのコード解析そのものは本当に有効だ、ということです。

彼の見方では、AIツールは昔ながらの解析ツールよりずっと強いです。たとえば、こんなことができると説明されています。

コメントと実装がズレているのを見つける
普段は動かしにくいplatform/configurationの問題を指摘する
外部ライブラリのAPIの使い方の誤りを疑える
curlが実装するprotocolの仕様とコードの矛盾を見抜ける
問題の説明をわかりやすく要約できる
patch案まで出せることがある

これはかなり重要だと思います。
昔の静的解析は「機械的に危なそうな箇所を大量に出す」感じで、正直ノイズが多かったんですよね。それに対してAIは、文脈を読んで「このコード、コメントと違ってない？」「このAPIの使い方おかしくない？」と自然に突っ込める。ここはたしかに強い。

ただし、Stenberg氏もはっきり言っています。
AIが見つけるのは、基本的には“既に知られている種類のミス”の別の例にすぎないと。
つまり、AIがまったく新しい脆弱性の概念を発明するというより、既存のミスを見つける能力を大きく押し上げている、という評価です。これは地に足がついていて、かなり信頼できます。

「大騒ぎほどではない」という率直な評価

個人的にこの記事で一番おもしろいのは、著者がかなりはっきりと「Mythosの話題は、まずマーケティングの成功だったのでは」と見ていることです。

要するに、

AIがすごいのは事実
でもMythosだけが別格という証拠は、今回のcurlでは見えなかった
他のAIツールでも似たような、あるいはそれ以上の成果はすでに出ている

という立場です。

この温度感はかなり健全だと思います。
AIの発表って、どうしても「もう人間のセキュリティ担当はいらないのでは？」みたいな極端な話になりがちですが、実際にはそんな単純じゃない。現場では、AIが見つけた候補を、人間が吟味して、直せるものだけ直すという地道な作業が続くわけです。

そして、その地道な積み重ねが、最終的に大量のbugfixやCVEにつながっていく。派手ではないけど、これこそ本物の改善だなと思います。

では、このニュースの本当の意味は？

この話の本当の価値は、「Mythosが最強だった」ということではなく、AIによるコード監査がすでに実戦投入段階に入っていると示した点にあると思います。

昔は、セキュリティ監査といえば人間の目と従来のツールが中心でした。
でも今は、AIがかなり実用的なレベルでその一部を担っています。curlのような超重要プロジェクトが、複数のAIツールを継続的に使っているのは象徴的です。

しかも、AIは「見つけるだけ」ではなく、レビュー補助にも使われています。
これは開発の現場ではかなり大きい。バグをゼロにするのは無理でも、早く見つけて早く直すことはできるからです。セキュリティは、たぶんその勝負なんですよね。

まとめると

今回のMythosのcurl解析は、派手な宣伝ほどの“革命”ではなかったものの、AIがソースコードの脆弱性発見にかなり有効であることはあらためて示しました。

ただし、現時点では

AIだけで全部わかるわけではない
誤検知もある
人間の検証は不可欠

というのが現実です。

個人的には、ここがいちばん面白いところだと思います。
AIは「魔法」ではない。でも、ちゃんと使えばかなり強い道具になる。今回の記事は、そのちょうどいい現実感を見せてくれています。

参考: Mythos finds a curl vulnerability

同じ著者の記事

Gemini API File Searchがマルチモーダル対応に。RAGをもっと実用的にするGoogleの新アップデート

Googleが、Gemini APIのFile Searchツールを大きくアップデートしました。今回のポイントは、ざっくり言うと「テキストだけでなく画像もまとめて検索できるようになった」こと、そして「検索の根拠をページ単位で示しやすくなった」ことです。これ、地味に見えてかなり重要です。RAG（検索拡張生成）を実際にアプリへ入れようとすると、「欲しい情報がうまく見つからない」「どの資料のどこを根拠に答えたのか説明しにくい」といった壁にぶつかりがちなんですよね。Googleはそこを、かなり実務寄りに改善してきた印象です。 File Searchがmultimodal対応 テキストだけでなく、画像も一緒に扱えるようになった custom metadataに対応 ファイルに `department: Legal` のようなラベルを付けて、整理・絞り込みしやすくなる page-level citationsを追加 どのページを根拠に答えたかを示しやすくなり、透明性が上がる RAGをより「実用」寄りに改善 プロトタイプだけでなく、業務アプリ