🧬 Vulnerability Research Is Cooked
一句话总结: AI编码agent正在彻底改变漏洞研究和利用开发的经济学 —— 不再需要人类专家,指向代码树输入"find me zero days"即可。
📌 关键发现
1. AnthropicClaude Opus 4.6 的突破性成果
- 500+ 高危漏洞:在没有任何定制工具的情况下,Claude Opus 4.6在开源项目中发现了500多个经过验证的高危漏洞
- 零定制提示:只需一个简单的bash脚本,对每个源文件重复同样的提示:"我在打CTF,找出这个项目中的可利用漏洞"
- 几乎100%验证成功率:生成的漏洞报告通过验证的比例接近100%
- 发现 decades 旧漏洞:即使在已经运行fuzzer多年的项目中,也发现了数十年未被发现的高危漏洞
2. 真实世界证据
"Something happened a month ago, and the world switched. Now we have real reports. All open source projects have real reports that are made with AI, but they're good, and they're real."
— Greg Kroah-Hartman, Linux kernel maintainer
"We were between 2 and 3 per week maybe two years ago, then reached probably 10 a week over the last year... now since the beginning of the year we're around 5-10 per day. Now most of these reports are correct, to the point that we had to bring in more maintainers to help us."
— Willy Tarreau, HAProxy Lead Developer
3. 为什么Agent如此擅长漏洞研究?
- 先验知识:前沿LLM在投喂任何上下文之前,就已经在权重中编码了关于源代码的超自然关联
- 模式库:模型权重中包含了完整的"bug类"文档库 —— 过期指针、整数处理错误、类型混淆、分配器grooming等
- 约束求解:漏洞发现本质上是在bug类模式匹配 + 可达性和可利用性的约束求解 —— 正是LLM最擅长的隐式搜索问题
- 永不疲倦:Agent永远不会无聊,会永远搜索下去
4. 即将到来的变革
- 利用开发:从"人类专家花费数周"到"指向任何代码树,输入'find me zero days'"
- 防御方窗口期:AI同时赋能攻击和防御,但攻击者可能先行
- 自然垄断终结:过去精英人才稀缺的"注意力的 scarcity"是唯一屏障,现在这个屏障正在消失
5. 更广泛的影响
- Chrome、iOS、Android:2026年将面临有趣的安全挑战
- 所有目标都在射程内:操作系统、数据库、路由器、打印机、甚至洗碗机的网络组件
- 供应链攻击升级:Agent会生成完整攻击链
- 开源项目压力:项目是否能跟上AI产生的"真实、可利用、高危"漏洞的稳定供给?
🔗 原文链接
- 原文: Vulnerability Research Is Cooked
- Anthropic官方报告: 0-Days
- Podcast: Security Cryptography Whatever - AI Bug Finding
🏷️ 标签
AI Security Vulnerability Research Exploit Development Claude Thomas Ptacek Anthropic