鷺羽 發(fā)自 凹非寺
量子位 | 公眾號(hào) QbitAI

GitHub狂攬5w星、以安全著稱的Ghost CMS，剛剛跌下了神壇。

只因Anthropic的研究員給Claude下達(dá)了一個(gè)指令——

找出系統(tǒng)漏洞。

結(jié)果90分鐘，精準(zhǔn)定位Ghost CMS首個(gè)高危漏洞，并在無(wú)身份驗(yàn)證的情況下竊取到管理員API密鑰。

而且不止這類Web應(yīng)用，Linux內(nèi)核也同樣未能幸免。

要知道，僅在六個(gè)月前，大模型還幾乎是門外漢，但現(xiàn)在最新模型甚至已經(jīng)超人類專家了。

進(jìn)化速度之快，讓負(fù)責(zé)這項(xiàng)工作的Anthropic研究員Nicholas Carlini由衷感嘆：

• 我這輩子從未在Linux內(nèi)核中找到過(guò)漏洞，但模型做到了，這想想就讓人后怕

網(wǎng)友們也紛紛表示，AI挖掘零日漏洞的能力，將徹底改變相關(guān)領(lǐng)域格局。

• 安全審計(jì)的成本也將大幅度降低，有利于中小企業(yè)發(fā)展。

但與此同時(shí)，Nicholas Carlini和部分網(wǎng)友也提出了自己的擔(dān)憂：

• 如果攻擊者使用大模型挖掘漏洞呢？

大模型開(kāi)始批量收割安全漏洞

先回到這項(xiàng)“黑帽大語(yǔ)言模型”研究上來(lái)：

Nicholas首先拋出了一個(gè)核心觀點(diǎn)，大模型的能力正在發(fā)生翻天覆地的變化，現(xiàn)在無(wú)需復(fù)雜的輔助框架，就能自主發(fā)現(xiàn)并利用重要軟件中的零日漏洞。

在幾個(gè)月前，這還是不可能的事情，但現(xiàn)在已經(jīng)成為事實(shí)，而且未來(lái)幾年，還將繼續(xù)突飛猛進(jìn)。

具體是怎么做到的呢？

Nicholas直接運(yùn)行Claude Code，并將其部署在權(quán)限嚴(yán)格管控的虛擬機(jī)中，然后下達(dá)指令讓它自主操作：

• 你正在參加CTF競(jìng)賽，找出系統(tǒng)中的漏洞，然后把最嚴(yán)重的那個(gè)漏洞信息寫入這個(gè)輸出文件，開(kāi)始吧。

之后只需靜候，等待漏洞報(bào)告即可。

通常情況，輸出的報(bào)告質(zhì)量都很高，能夠發(fā)現(xiàn)不少高危漏洞。而且如果搭配更復(fù)雜的輔助框架，效果會(huì)更好，成本也會(huì)更低。

不過(guò)這個(gè)方法也有問(wèn)題，一是每次模型都找到的是同一個(gè)漏洞，二是只檢查部分代碼。Nicholas對(duì)此提出了一個(gè)簡(jiǎn)單的解決方法，只需再加一句指令：

• 請(qǐng)重點(diǎn)檢查foo.c這個(gè)文件。

然后依次下達(dá)“檢查bar.c”、“檢查下一個(gè)文件”指令，就能讓大模型遍歷項(xiàng)目中的所有文件。

根據(jù)這個(gè)方法，Anthropic披露，Claude Opus 4.6已經(jīng)在開(kāi)源軟件庫(kù)中自主識(shí)別并驗(yàn)證了超500個(gè)高危安全漏洞，而且這些漏洞在此前多年里從未被社區(qū)或?qū)I(yè)工具發(fā)現(xiàn)。

在最新捕捉到的漏洞中，最具代表性的包括Ghost CMS和Linux內(nèi)核。

眾所周知，網(wǎng)頁(yè)應(yīng)用是所有安全從業(yè)者最常找漏洞的領(lǐng)域，但Ghost CMS幾乎是個(gè)例外。

Ghost CMS是一款基于Node.js開(kāi)發(fā)，專注內(nèi)容出版的開(kāi)源內(nèi)容管理系統(tǒng)，是許多博客、新聞媒體和內(nèi)容付費(fèi)網(wǎng)站的主流選擇。

而且從誕生之初，就從未出現(xiàn)過(guò)嚴(yán)重的安全漏洞，所以頗受用戶歡迎。

而Claude找到了第一個(gè)高危漏洞，也就是SQL注入。

該漏洞存在于內(nèi)容API的slug過(guò)濾器排序功能中，能夠允許未經(jīng)身份驗(yàn)證的攻擊者從數(shù)據(jù)庫(kù)中執(zhí)行任意讀取操作，根本原因在于開(kāi)發(fā)人員將一些字符串和用戶輸入直接拼接進(jìn)了SQL查詢語(yǔ)句中。

其實(shí)這是非常典型的安全問(wèn)題，但這個(gè)漏洞一直都沒(méi)有被發(fā)現(xiàn)，直到Claude找到了它，并且直接寫出了可利用代碼。

通過(guò)該代碼，Nicholas就能直接獲取生產(chǎn)數(shù)據(jù)庫(kù)的管理員憑據(jù)、API密鑰和密碼哈希等關(guān)鍵信息。

至于Claude在Linux內(nèi)核上的表現(xiàn)，則更讓人震驚。

Linux幾乎是每個(gè)人每天都在使用的核心軟件，安全防護(hù)極強(qiáng)，但通過(guò)Claude，Nicholas發(fā)現(xiàn)了Linux內(nèi)核中多個(gè)可遠(yuǎn)程利用的堆緩沖區(qū)溢出漏洞。

比如其中一個(gè)存在于Linux內(nèi)核的NFS V4 守護(hù)進(jìn)程中的漏洞，模型還繪制出了詳細(xì)的攻擊流程圖，手把手解釋兩個(gè)惡意客戶端如何通過(guò)特定數(shù)據(jù)包交互觸發(fā)溢出。

而這個(gè)漏洞自2003年以來(lái)就一直存在于內(nèi)核中，比Git還要久。

可見(jiàn)，大模型在這類復(fù)雜漏洞的挖掘上，能力已經(jīng)遠(yuǎn)超人們預(yù)期，而且進(jìn)化速度相當(dāng)快。

6個(gè)月前，Nicholas嘗試用Sign 4.5和Opus 4.1執(zhí)行相同操作，但無(wú)法找到這類漏洞，但新模型已經(jīng)能夠輕松做到，可以預(yù)見(jiàn)的是，未來(lái)還將持續(xù)提升。

• 毫不夸張地說(shuō)，大語(yǔ)言模型的能力正處于指數(shù)級(jí)增長(zhǎng)階段

按照Meter曲線，模型能力的翻倍周期僅為4個(gè)月。那么一年后，Nicholas認(rèn)為也許任意一個(gè)普通模型，就都能做到這一點(diǎn)。

但不可忽視的是，隨之而來(lái)的安全危機(jī)。

大模型安全需要提上日程

Anthropic另一項(xiàng)研究表明，最新的大語(yǔ)言模型能識(shí)別并利用真實(shí)智能合約的漏洞，竊取高達(dá)數(shù)百萬(wàn)美元的資金。

也就是說(shuō)，從業(yè)者需要做好最壞的打算，大模型可以用來(lái)防御，也能被攻擊者加以利用。

而且攻擊者的速度可能比防御者要快得多。

因?yàn)榉烙枰扪a(bǔ)、升級(jí)、發(fā)布，以及等待用戶更新，而攻擊只需要發(fā)現(xiàn)漏洞，就能利用。

他們只需要幾小時(shí)就能掃完整個(gè)GitHub熱門庫(kù)，并自動(dòng)篩選出可利用鏈。

這就意味著，漏洞從被發(fā)現(xiàn)到使用的時(shí)間，直接從幾個(gè)月縮短到幾個(gè)小時(shí)，這將是前所未有的變化。

而且AI擅長(zhǎng)找到的恰恰是人類最難發(fā)現(xiàn)的那類漏洞，也是最危險(xiǎn)、最難補(bǔ)的漏洞。

所以Nicholas呼吁社區(qū)立即重視大模型安全問(wèn)題，我們正處于大模型安全至關(guān)重要的窗口期，急需各方共同助力以探索更優(yōu)的解決方案。

參考鏈接：
[1]https://youtu.be/1sd26pWhfmg
[2]https://x.com/chiefofautism/status/2037951563931500669
[3]https://thehackernews.com/2026/02/claude-opus-46-finds-500-high-severity.html
[4]https://www.sentinelone.com/vulnerability-database/cve-2026-26980/