Laut dem Bericht durchsuchte Mythos die rund 178.000 Codezeilen von curl und meldete fünf „bestätigte Sicherheitslücken". Eine Prüfung der Funde ergab jedoch ein deutlich nüchterneres Bild: Drei davon waren bereits bekannte und in der offiziellen Dokumentation beschriebene Probleme, ein weiterer Punkt war ein Bug und keine Sicherheitslücke.

Übrig blieb ein einziges von den curl-Entwicklern als echte Schwachstelle bestätigtes Problem. Es wurde mit niedriger Schwere bewertet und soll Ende Juni behoben werden.

Stenberg verweist darauf, dass curl bereits mit anderen KI-Werkzeugen wie Zeropath, AISLE und OpenAIs Codex analysiert wurde. Diese halfen, 200 bis 300 Probleme aufzudecken, darunter „ein Dutzend oder mehr" bestätigte Schwachstellen. Er räumt ein, dass KI-gestützte Werkzeuge zur Code-Analyse „deutlich besser" Sicherheitslücken finden als herkömmliche Werkzeuge. Mythos hält er auf Basis der curl-Analyse jedoch nicht für so „gefährlich", wie Anthropic es dargestellt hat.

„Meine persönliche Schlussfolgerung kann zu nichts anderem führen, als dass der große Hype um dieses Modell bislang vor allem Marketing war", so Stenberg. Er sehe keinen Beleg dafür, dass dieser Aufbau Probleme in besonders höherem oder fortgeschrittenerem Maße finde als die anderen Werkzeuge zuvor. Selbst wenn das Modell etwas besser sei, reiche das nicht aus, um die Code-Analyse spürbar zu verändern.

Bislang sind curl 188 CVEs zugewiesen; öffentliche Berichte über einen Missbrauch dieser Schwachstellen in freier Wildbahn gibt es nach Stenbergs Angaben nicht. Das Ausnutzen von curl-Lücken in der Praxis sei zudem nicht einfach.

Stenbergs Beitrag wurde auf Hacker News, Reddit und LinkedIn breit diskutiert. Teile der Sicherheitsbranche verweisen darauf, dass curl bereits intensiv geprüft und getestet wurde — auch mit anderen KI-Werkzeugen —, sodass größere Schwachstellen kaum verborgen bleiben dürften. Die geringen Funde von Mythos seien daher eher ein Zeichen für die Reife und Robustheit des curl-Codes als für eine Schwäche des Modells.

Als Gegenbeispiel wird Mozilla angeführt: Das Unternehmen zeigte sich von Mythos sehr beeindruckt, da es half, mehr als 270 Firefox-Schwachstellen aufzudecken. Mozilla merkte allerdings an, dass alle gefundenen Lücken auch von herausragenden menschlichen Forschern hätten entdeckt werden können. Ihr schnelles Auffinden verkürze jedoch die Lücke zwischen der Entdeckung durch Angreifer und dem Patch durch den Hersteller.

Andere Stimmen teilen Stenbergs Einschätzung und meinen, Mythos hätte mehr Schwachstellen finden müssen, wenn die Behauptungen des Herstellers zuträfen. „Ich kann nur schwer glauben, dass Mythos die einzige verbliebene curl-Schwachstelle gefunden hat. Es ist möglich, aber höchst unwahrscheinlich", kommentierte ein Nutzer. Erik Cabetas von Include Security berichtete, er habe mit mehreren Organisationen gesprochen, die Zugang zu Mythos erhalten haben — auch sie hätten ähnliche Ergebnisse wie bei curl gemeldet.