北京
整理 | 鄭麗媛
出品 | CSDN(ID:CSDNnews)
如果你在網絡安全圈混,最近一定被“Mythos”刷過屏——Anthropic 搞出了一個能挖 Bug 的 AI 模型,但因為怕被壞人濫用,愣是沒敢公開發布。
聽起來像是一部科幻大片的開場?別急,真正的劇本可能更接“地氣”:因為就在 Mythos 還躺在實驗室里的時候,它的“前輩” Claude Opus 4.6,已經在一位 CTO 的指揮下,成功寫出了一個針對 Chrome 的完整 Bug 利用鏈。
代價是:2283 美元(約合人民幣 1.5 萬元)的 API 費用,外加 20 小時的“保姆式”指導。
主角不是 Mythos,而是 Claude Opus 4.6
這次實驗來自 Hacktron CTO、研究員 Mohan Pedhapati(網名 s1r1us)。他選擇的工具,并不是傳聞中的 Mythos,而是當時已經公開提供的 Claude Opus 4.6——甚至這個版本后來還被 Opus 4.7 取代了。
換句話說,他用的不是“未來武器”,而是普通用戶就能接觸到的現成模型。
他把目標鎖定在一個很多人每天都在用的軟件 Discord,原因很簡單:Discord 桌面端基于 Electron 構建,自帶 Chromium 內核,但它所使用的 Chrome 版本明顯落后于官方最新版。
當時,Discord 運行的是 Chrome 138,而官方 Chrome 已更新至 147,整整落后 9 個大版本——這類版本差距,在安全領域往往意味著一句話:已修復Bug,很可能仍在用戶電腦里繼續“裸奔”。
然后,Pedhapati 打開了 Anthropic 的 Claude Opus 4.6,給了它一個任務:針對這個老舊的 Chrome,寫出一段能攻陷它的代碼。但整個過程并不輕松,用 Pedhapati 自己的話說:
“來回折騰了一周,消耗了 23 億 token,歷經 1765 次請求,API 費用花了 2283 美元,我還花了大約 20 個小時不停把它從死胡同里拽出來。”
最終成果是:成功彈出了系統計算器(pop calc)。這里解釋一下,“彈計算器”(pop calc)是 Bug 利用圈的行話:當你寫的惡意代碼能在別人電腦上打開計算器,就證明你已經獲得了執行任意命令的能力——也就是說,這個系統被你拿下了。
一周時間,AI 到底做了什么?
根據 Pedhapati 發布的博文,他讓 Claude Opus 4.6 執行的任務,大致分三步:
(1)第一步:從補丁里找 Bug 機會
他先整理出 Chrome 138 到 Chrome 147 之間公開修復的大量 CVE,然后讓模型分析:
● 哪些補丁涉及 V8 引擎
● 哪些改動可能對應可利用 Bug
● 哪些更適合構造越界讀寫能力
這一步最耗 Token,因為很多路線都會失敗。Claude Opus 4.6 嘗試了幾十種思路,不少看起來有戲的 Bug 最后都走進了死胡同。
(2)第二步:構造越界訪問能力(OOB)
最終選中的目標,是一個 V8 越界讀寫 Bug。據 Pedhapati 介紹,這個核心 Bug 編號為 CVE-2026-5873,修復于 Chrome 147 版本。Claude 根據公開 patch 信息,反推出觸發邏輯,并構造出可工作的 OOB(Out-of-Bounds)原語。
簡單理解,就是讓程序訪問“不該訪問的內存區域”,從而為后續控制程序鋪路。
(3)第三步:繞過保護機制,拼成完整攻擊鏈
現代瀏覽器不會因為一個越界 Bug 就輕易被攻破,還存在各種隔離與沙箱機制。因此 Pedhapati 又讓模型繼續拼接第二階段 Bug,用來繞過 V8 的保護邊界,最終拿到任意代碼執行能力。
幾天后,整個完整 Bug 利用鏈成功跑通。
2283美元貴嗎?黑客可能覺得很便宜
你可能覺得花兩千多美元就為彈個計算器,太奢侈了。但 Pedhapati 算了一筆賬:
● 一個人類安全研究員,如果不靠 AI 輔助,獨立開發一個類似的漏洞利用鏈,通常需要數周的專注工作;
● 就算把他 20 小時的“保姆時間”按幾千美元算進去,總成本還是比 Google 和 Discord 漏洞獎勵計劃里的獎金(約 15000 美元)要低得多;
● 更別提黑市上那些匿名買家愿意出的價碼了,據說有人直接私信開價,愿意給出官方賞金 10 倍的價格。
不過 Pedhapati 也坦言,目前模型并不完美。Claude 在實驗中經常出現問題,包括卡在錯誤方向反復打轉、上下文太長后忘了之前做過什么、靠猜測寫 exploit、解決不了問題時“作弊式完成任務”等。例如有一次,Claude 繞過找 Bug 這一步,直接調用系統命令彈計算器。
這說明現在的大模型,還需要專業人員盯著、糾偏、提供調試反饋。Pedhapati 的 20 小時,也基本都花在把這些毛病掰回來上。
可真正讓人擔心的恰恰是:哪怕模型已經這么笨拙了,它卻還是成功了。
那下一代模型呢?如果上下文更長、推理更穩、自動化更強、成本更低,人類介入時間越來越少,黑客的攻擊門檻自然也會持續下降:過去,廠商發布安全補丁后,攻擊者要花不少時間逆向分析修復內容,找出 Bug 原理,再寫利用代碼;如今,AI 可以加速這個流程。
Pedhapati 認為,隨著 AI 模型在 Bug 利用開發上越來越強,補丁空窗期會被壓縮得越來越短:
“每個補丁本質上都是一個 Bug 提示。”
不僅如此,這對開源項目尤其麻煩,因為修復 commit 在修訂版本發布之前就已經在代碼倉庫里公開可見了,但穩定版往往會稍晚發布,而大量用戶尚未升級——這個時間差,可能正在變成 AI 的主戰場。
為此,Pedhapati 給開發者的建議是:代碼 push 之前就要更重視安全審查;維護一份完整的關鍵依賴版本清單,知道自己跑的是什么;安全補丁應該自動應用,不需要用戶點“確認”;開源項目在公開 Bug 細節的時機上要更加謹慎——因為每一個公開的 commit,都是“發令槍”。
Mythos是否強大,也許已經不重要了
最后,回到 Mythos。外界還在討論 Anthropic 為什么不公開 Mythos,是不是過度營銷、夸大威脅。對此,Pedhapati 的回答是:這不重要。
這次實驗已經說明:即使“最強模型”沒開放,現有的公開模型也足夠開始改變攻防格局。
“Mythos 是不是被吹過頭了根本不重要,”Pedhapati 說,“這條曲線并沒有變平。就算不是 Mythos,也會是下一個版本,或者再下一個。遲早有一天,任何一個有耐心、有個 API key 的腳本小子都能在沒打補丁的軟件上彈 shell。問題不是會不會發生,而是什么時候發生。”
所以,真正的轉折點,可能不是某一天突然出現“超級黑客 AI”,而是從現在開始:exploit 開發越來越快、Bug 分析越來越便宜、未更新軟件越來越危險。
這次,還需要 2283 美元和一周時間;下一次,可能只需要幾十美元,外加一杯咖啡的時間。
參考鏈接:https://www.hacktron.ai/blog/i-let-claude-opus-to-write-me-a-chrome-exploit
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
