Symfony skriver i et blogginnlegg at Anthropic kjørte en engangsanalyse av Symfony- og Twig-kodebasene gjennom Claude Mythos Preview, en ennå ikke offentlig modell Anthropic gir utvalgte prosjekter tilgang til via Project Glasswing. Modellen rapporterte 19 sårbarheter, og Symfony-kjerneteamet gjennomgikk hver rapport manuelt. Alle 19 var reelle.
Hver sårbarhet kom i egen fil med CWE, berørte filer og versjon, et sammendrag med den sårbare koden uthevet, steg-for-steg-instruksjoner for utnyttelse, en reproducer og forslag til fiks. Samarbeidet oppsto fordi Symfony, PHP Foundation og Anthropic nylig bygde den offisielle MCP-SDK-en for PHP sammen. Symfony har allerede fikset alle 19 i sine siste sikkerhetsutgivelser.
«Modeller som Claude Mythos Preview og initiativer som Project Glasswing endrer måten kodesikkerhet auditeres på.» — Symfony
Det interessante for deg som bygger er presisjonen. Null falske positive over 19 funn er langt unna støynivået utviklere er vant til fra statiske analyseverktøy, der falske alarmer ofte gjør resultatene ubrukelige. Anthropic sier Claude Mythos har funnet tusenvis av sårbarheter på tvers av store operativsystemer og nettlesere gjennom Glasswing. At en hel kjerneteam-gjennomgang ikke avviste én eneste rapport, antyder at KI-drevet auditing nærmer seg et nivå der den kan inngå i vanlige sikkerhetsrutiner.
Hva bør du gjøre?
- Oppgrader Symfony og Twig til siste sikkerhetsutgivelse hvis du kjører dem i produksjon, alle 19 sårbarhetene er allerede patchet.
- Les Symfonys security advisories for å se om noen av sårbarhetene berører komponenter du bruker direkte.
- Vurder å kjøre en KI-modell mot din egen kodebase, men behold manuell gjennomgang av funnene. Symfony bekreftet hver eneste rapport for hånd før de stolte på dem.