The #curl wikipedia page is only available in 27 languages, you slackers! 🤠

https://en.wikipedia.org/wiki/CURL

Not really here nor there, but I thought I would reiterate that #commonLisp 's @kentpitman and myself #interview ed @bagder about #curl and #AI on May 10th, one day before that #news article.

https://toobnix.org/w/rPKt4GRBwLeWzF3VcMFWNo

Curl is a popular #networking #software

https://curl.se/
https://en.wikipedia.org/wiki/CURL
https://en.wikipedia.org/wiki/Kent_Pitman

#curl #unix #cli #C #libcurl #linux

Koniec mitu niebezpiecznego AI? Model Mythos poległ na kodzie Curla

Wokół najnowszych modeli sztucznej inteligencji często buduje się aurę tajemniczości i grozy. Twórcy z firmy Anthropic reklamowali swój nowy model Mythos jako technologię „zbyt niebezpieczną, aby udostępnić ją publicznie”.

Z tą marketingową narracją postanowił zmierzyć się Daniel Stenberg, twórca legendarnego narzędzia curl, dając sztucznej inteligencji dostęp do 178 tysięcy linijek swojego kodu. Wyniki eksperymentu mocno weryfikują rynkowy entuzjazm.

Z wielkiej chmury mały deszcz

Model Mythos miał za zadanie przeanalizować bazę kodu curla w poszukiwaniu krytycznych luk bezpieczeństwa. Po długim procesie przetwarzania danych system zgłosił pięć „potwierdzonych podatności”. Jak jednak wykazała weryfikacja przeprowadzona przez zespół curla, skuteczność AI okazała się mocno przeszacowana:

• Trzy ze zgłoszonych luk okazały się fałszywymi alarmami (tzw. false positives).
• Jedno zgłoszenie było zwykłym błędem (bugiem) bez jakichkolwiek implikacji dla cyberbezpieczeństwa.
• Tylko jedna znaleziona podatność okazała się prawdziwa, jednak eksperci sklasyfikowali ją jako lukę „niskiego ryzyka”.

AI asystuje, ale nie zastępuje człowieka

Jak zauważają eksperci ds. bezpieczeństwa (m.in. z serwisu Sekurak), eksperyment Stenberga nie oznacza, że sztuczna inteligencja jest w cyberbezpieczeństwie bezużyteczna. Udowadnia jedynie, że AI nie działa jak magiczna różdżka.

Obecnie branża odchodzi od narracji o podatnościach „znalezionych przez AI” (AI-found) na rzecz tych „wspieranych przez AI” (AI-assisted). Doskonałym przykładem jest niedawna, głośna luka „Copy Fail” w systemie Linux. To badacz (człowiek) na podstawie swojej wiedzy i intuicji określił potencjalny wektor ataku, a sztuczna inteligencja posłużyła mu jedynie jako narzędzie do błyskawicznego przeskalowania tego pomysłu na cały ogromny podsystem.

Wniosek jest prosty: w 2026 roku ekspert ds. cyberbezpieczeństwa, który potrafi umiejętnie korzystać z AI, osiągnie znacznie lepsze i szybsze rezultaty niż kilka lat temu. Sama sztuczna inteligencja pozostawiona bez nadzoru wciąż ma jednak problem z odróżnieniem faktycznego zagrożenia od fałszywego alarmu.

Zmiany w OpenAI. Greg Brockman przejmuje nadzór nad produktem, firma ogranicza poboczne projekty

I recently improved #curl's handling of credentials and now the LLM enhanced security reporters zoom in on credentials use.

It's like children's soccer where everyone is running after the ball. Or physics, where scientists dream up 'particles' to chase because the LHC exists.

In the meantime, CISA publishes vital credentials on the internet and everyone shakes hands that it was closed already a day after reporting.

*benny hill theme*🤡

One end of a Teams call overheard at the office: "I said 'curl.' [long pause] No, not 'Carol.'"

#curl

I finally was able to track down a busyloop bug in #curl multi interface.

I've know about this bug for years now, but I have never been able to reproduce it outside of our #MorphOS operating system.

I was finally able to do it though. The key: smaller socket receive buffer. Most modern systems have huge socket buffers and this hides the bug. The issue will likely get triggered quite easily on older or embedded systems where smaller socket buffers are more common.

https://sintonen.fi/src/misc/curl-multi-busyloop-poc.c

This is https://github.com/curl/curl/issues/21671