Anthropic의 AI 모델 Mythos가 소스 코드의 보안 취약점 발견에 "위험할 정도로 뛰어나다"는 평가를 받은 후, curl 프로젝트는 Linux Foundation의 Alpha Omega를 통해 해당 모델을 이용한 코드 분석 기회를 얻었습니다. 기존에도 curl은 일반적인 정적 코드 분석기 외에 AISLE, Zeropath, OpenAI의 Codex Security와 같은 AI 기반 도구를 사용하여 200-300건의 버그 수정 및 다수의 CVE를 처리해 왔습니다. 또한 GitHub Copilot 및 Augment 코드와 같은 도구를 풀 리퀘스트(pull request) 검토에 활용하며, AI가 인간 검토를 보완하는 역할을 수행하고 있습니다.

2026년 5월 6일, curl의 git 저장소 master 브랜치에 대해 Mythos 스캔 리포트가 전달되었습니다. 분석 범위는 src/ 및 lib/ 하위 디렉토리의 178,000 라인에 달하는 C 코드였습니다. Mythos 자체도 curl이 "가장 많이 퍼징되고 감사된 C 코드베이스 중 하나"이며 "핫 경로에서 문제를 찾기 어려울 것"이라고 언급했습니다.

Mythos의 핵심 방법론은 다음과 같습니다: "LLM subagents를 활용한 병렬 파일 읽기를 통해 수동으로 주도되는 분석(hand-driven analysis)을 수행하며, 모든 잠재적 발견 사항은 메인 세션에서 직접 소스 검사(direct source inspection)를 통해 재검증된 후 기록된다(re-verified by direct source inspection in the main session before being recorded)." 이 과정에서 curl 자체의 vuln.json 데이터를 기반으로 CVE를 변형 사냥(variant-hunt) 매핑에 활용했습니다. 자동화된 SAST(Static Application Security Testing) 도구는 사용되지 않았습니다. 이는 curl의 방어적 인프라(예: capped dynbufs, curlx_str_number with explicit max, curlx_memdup0 overflow guard, CURL_PRINTF format-string enforcement, per-protocol response-size caps 등) 덕분에 일반적인 버그 클래스가 이미 체계적으로 해결되었기 때문입니다.

Mythos는 초기 보고서에서 5개의 "확인된(Confirmed) 보안 취약점"을 발견했다고 명시했습니다. 그러나 curl 보안 팀의 면밀한 검토 결과, 이 중 3개는 문서화된 API의 제약 사항을 오해한 False Positive였고, 1개는 일반적인 버그로 분류되어 보안 취약점이 아니었습니다. 최종적으로 단 1개의 낮은 심각도의(low severity) 보안 취약점만이 유효한 것으로 확인되었고, 이는 향후 curl 8.21.0 릴리스와 함께 CVE로 공개될 예정입니다. 또한 Mythos는 약 20개의 일반 버그(비보안 취약점)를 발견했으며, 이들은 False Positive가 거의 없이 매우 잘 설명되어 현재 조사 및 수정이 진행 중입니다.

결론적으로, Mythos는 curl과 같이 이미 광범위하게 분석된 코드베이스에서 기존의 AI 도구보다 훨씬 많은 양의 문제를 발견하지는 못했지만, 발견된 문제들의 품질은 높았습니다. 저자는 Mythos가 기존의 다른 AI 기반 코드 분석 도구에 비해 "특별히 더 높거나 발전된" 수준의 결과를 제공한다는 증거를 찾지 못했습니다. 그러나 AI 기반 코드 분석기는 기존 도구보다 보안 취약점 발견에 훨씬 효과적이며, 특히 코드와 주석 간의 불일치, 특정 플랫폼/설정에서의 동작 분석, 서드파티 라이브러리 및 프로토콜 사양 위반 감지, 그리고 발견된 문제에 대한 명확한 설명 및 패치 제안(부분적일지라도) 측면에서 강점을 보인다고 강조했습니다. 이러한 AI 도구들은 기존에 알려진 유형의 오류를 찾아내며, 새로운 종류의 취약점을 "재발명"하지는 않지만, 기존의 어떤 도구보다 더 많은 문제를 발굴하는 데 기여하고 있습니다.