AI代码安全扫描实测：17.6万行仅发现一个低危漏洞

Anthropic公司推出的AI安全分析模型Mythos近期经历了一次公开的效能检验。这款被寄予厚望的模型在开源社区的实战测试中，表现远未达到官方宣传的水平。在对广泛使用的网络传输工具curl进行代码审计时，Mythos扫描了超过17.6万行代码，最终仅确认了一个“低危”级别的安全漏洞。

curl项目创始人Daniel Stenberg主导了这次测试。他利用有限的测试权限，对这个安装量超200亿次的核心基础设施进行了深度扫描。curl的代码库以其卓越的安全工程实践著称，历经长期迭代、数百名贡献者的审查以及多项专业安全审计，其健壮性构成了对AI工具的严格考验。

测试初期的报告曾列出5个已确认的安全问题，但经过curl安全团队的人工复核，结果迅速修正。其中3个被判定为误报，属于符合预期的正常行为；另1个被归类为普通功能缺陷，不涉及安全风险。最终，仅剩一个低严重性漏洞得到确认。

Stenberg对此结果的评价直言不讳。他指出，Anthropic此前宣传的“危险级能力”更偏向市场策略。实际上，在Mythos出现之前，curl团队已借助多种AI辅助工具修复了数百个缺陷。早期工具易于发现表层问题，但随着代码质量持续提升，AI模型挖掘深层、新型漏洞的难度正指数级增加。

尽管如此，AI工具的价值不容全盘否定。Stenberg承认，相较于传统静态分析工具，Mythos这类模型在理解复杂协议规范、识别代码与注释不一致性以及执行特定环境配置检查等方面具备独特优势。它们扮演着知识型助手的角色，虽不能提供完美解决方案，但能带来宝贵的分析视角和排查思路。

AI审计的现状与启示

此次测试揭示了AI代码审计的当前阶段：它带来了显著的效率提升，但其能力边界依然明确。模型更擅长基于已知漏洞模式进行实例匹配，而非进行开创性的安全逻辑推理。本质上，AI仍在运用人类灌输的模式识别能力，尚未达到真正的“理解”与“洞察”。

因此，在构建核心安全防线时，历经验证的传统工程实践依然至关重要。这包括建立防御性基础设施、实施严格的输入验证与边界控制、以及采用深度防御架构。AI工具可以作为强大的增效手段，但无法替代严谨的安全开发生命周期和基础性安全工程。

技术演进始终遵循迭代规律。单次测试结果虽不能定义技术前景，却清晰标定了当前的发展坐标。对开发团队而言，明智的策略是积极利用AI工具提升漏洞筛查效率，同时坚定不移地夯实安全工程根基，这或许是现阶段最具实操性的平衡之道。