仅凭一份漏洞公告全球最安全系统4小时被攻破

2026-04-06 | 来源: MIT科技评论 | 转到微信 | 有0人参与评论 | 字体: 放大缩小 | 收藏 | 打印

（来源：https://www.freebsd.org/）

AI 黑客的技术跃升，从“发现漏洞”到“自主武器化”

在过去的十年中，模糊测试（Fuzzing）等自动化工具已经能够在代码中批量发现 Bug，但“发现漏洞”与“利用漏洞”之间存在着巨大的技术鸿沟。将一个内存越界错误转化为可靠的漏洞利用程序，需要对内存布局、内核与用户空间的交互、ROP 链构造以及故障适应机制进行极其深度的逻辑推理。这曾是全球顶尖安全研究员的“专属艺术”。

此次事件证明，AI 已经完全掌握了这种链式推理和故障排查能力。它意味着 AI 的威胁级别已经跨越了“纸上谈兵”的理论阶段，正式具备了生产级的实战进攻能力。

阿米尔在文章中进行了言辞激烈的警告，他指出，这一事件正在彻底重塑全球网络安全的攻防平衡。

泰正妹选美大赛泳装热舞全球爆红 CNN都被迷倒

中国世乒赛夺冠不到24小时,坏消息来了?

上海医生:1小时6个心梗患者这一波很密集

首先是进攻成本的呈指数级剧降。过去需要耗费巨资和资深专家团队数周时间才能打造的零日（0-day）漏洞利用工具，现在仅需数百美元的算力成本和短短 4 个小时即可完成。阿米尔将其比作“精确制导武器的大规模廉价普及”，这将极大地压缩网络攻击能力的“供给曲线”。

其次是防御窗口期趋近于零。在传统的安全体系中，安全团队从收到漏洞预警到完成全网补丁部署，平均需要 60 天甚至更久。然而，AI 可以在官方发布补丁甚至仅仅发布公告的几个小时内，逆向推导出完整的攻击代码并开始全网扫描利用。面对机器速度的武器化，人类以“天”和“周”为单位的修补周期显得苍白无力。

更令人担忧的是这种能力的泛化性与可复制性。此前，尼古拉斯利用这一套基于 Claude 的简单自动化流程，只需让 AI 在源代码库中不断循环审查，就成功发掘并验证了多达 500 个高危级别的软件漏洞。

为了进一步佐证这种威胁的普遍性，尼古拉斯还曾在演讲中演示过两个真实世界的复杂利用案例：一个是针对流行内容管理系统 Ghost CMS 的 SQL 注入，另一个则是成功利用了可追溯到 2003 年的 Linux 内核 NFS 堆溢出漏洞。他断言，AI 模型已经跨越了一个极其危险的门槛，安全社区必须紧急做好准备，迎接一个“AI 驱动的进攻能力远远超过当前防御能力”的全新世界。

这一判断与阿米尔在专栏中的警告不谋而合。他强调，传统的依赖手动代码审查、经验累积和逐步安全加固的防御模式已经失效。随着具有自我迭代能力的 AI 在“漏洞识别-模糊测试-武器利用-后门植入-数据窃取”这一全生命周期中实现完全闭环，我们正在步入一场以机器速度驱动的“网络超级战争”（Cyber Hyperwar）。

面对这种复合型威胁，企业与组织的唯一出路是将 AI 深度融入自身安全管道，利用 AI 进行实时的代码审计与攻击监控。正如文章结尾那句紧迫的叩问：你是否已将 AI 整合进你的安全防御系统？还是依然妄图以人类速度抵御机器速度的攻击？技术在飞速进展，留给旧时代防御体系的时间，已经不多了。