如果你在网络安全圈混,最近一定被“Mythos”刷过屏——Anthropic 搞出了一个能挖 Bug 的 AI 模型,但因为怕被坏人滥用,愣是没敢公开发布。
听起来像是一部科幻大片的开场?别急,真正的剧本可能更接“地气”:因为就在 Mythos 还躺在实验室里的时候,它的“前辈” Claude Opus 4.6,已经在一位 CTO 的指挥下,成功写出了一个针对 Chrome 的完整 Bug 利用链。
代价是:2283 美元(约合人民币 1.5 万元)的 API 费用,外加 20 小时的“保姆式”指导。
主角不是 Mythos,而是 Claude Opus 4.6
这次实验来自 Hacktron CTO、研究员 Mohan Pedhapati(网名 s1r1us)。他选择的工具,并不是传闻中的 Mythos,而是当时已经公开提供的 Claude Opus 4.6——甚至这个版本后来还被 Opus 4.7 取代了。
换句话说,他用的不是“未来武器”,而是普通用户就能接触到的现成模型。
他把目标锁定在一个很多人每天都在用的软件 Discord,原因很简单:Discord 桌面端基于 Electron 构建,自带 Chromium 内核,但它所使用的 Chrome 版本明显落后于官方最新版。
当时,Discord 运行的是 Chrome 138,而官方 Chrome 已更新至 147,整整落后 9 个大版本——这类版本差距,在安全领域往往意味着一句话:已修复Bug,很可能仍在用户电脑里继续“裸奔”。
然后,Pedhapati 打开了 Anthropic 的 Claude Opus 4.6,给了它一个任务:针对这个老旧的 Chrome,写出一段能攻陷它的代码。但整个过程并不轻松,用 Pedhapati 自己的话说:
“来回折腾了一周,消耗了 23 亿 token,历经 1765 次请求,API 费用花了 2283 美元,我还花了大约 20 个小时不停把它从死胡同里拽出来。”
最终成果是:成功弹出了系统计算器(pop calc)。这里解释一下,“弹计算器”(pop calc)是 Bug 利用圈的行话:当你写的恶意代码能在别人电脑上打开计算器,就证明你已经获得了执行任意命令的能力——也就是说,这个系统被你拿下了。
一周时间,AI 到底做了什么?
根据 Pedhapati 发布的博文,他让 Claude Opus 4.6 执行的任务,大致分三步:
(1)第一步:从补丁里找 Bug 机会
他先整理出 Chrome 138 到 Chrome 147 之间公开修复的大量 CVE,然后让模型分析:
● 哪些补丁涉及 V8 引擎
● 哪些改动可能对应可利用 Bug
● 哪些更适合构造越界读写能力
这一步最耗 Token,因为很多路线都会失败。Claude Opus 4.6 尝试了几十种思路,不少看起来有戏的 Bug 最后都走进了死胡同。
(2)第二步:构造越界访问能力(OOB)
最终选中的目标,是一个 V8 越界读写 Bug。据 Pedhapati 介绍,这个核心 Bug 编号为 CVE-2026-5873,修复于 Chrome 147 版本。Claude 根据公开 patch 信息,反推出触发逻辑,并构造出可工作的 OOB(Out-of-Bounds)原语。
简单理解,就是让程序访问“不该访问的内存区域”,从而为后续控制程序铺路。
(3)第三步:绕过保护机制,拼成完整攻击链
现代浏览器不会因为一个越界 Bug 就轻易被攻破,还存在各种隔离与沙箱机制。因此 Pedhapati 又让模型继续拼接第二阶段 Bug,用来绕过 V8 的保护边界,最终拿到任意代码执行能力。
几天后,整个完整 Bug 利用链成功跑通。
2283 美元贵吗?黑客可能觉得很便宜
你可能觉得花两千多美元就为弹个计算器,太奢侈了。但 Pedhapati 算了一笔账:
● 一个人类安全研究员,如果不靠 AI 辅助,独立开发一个类似的漏洞利用链,通常需要数周的专注工作;
● 就算把他 20 小时的“保姆时间”按几千美元算进去,总成本还是比 Google 和 Discord 漏洞奖励计划里的奖金(约 15000 美元)要低得多;
● 更别提黑市上那些匿名买家愿意出的价码了,据说有人直接私信开价,愿意给出官方赏金 10 倍的价格。
不过 Pedhapati 也坦言,目前模型并不完美。Claude 在实验中经常出现问题,包括卡在错误方向反复打转、上下文太长后忘了之前做过什么、靠猜测写 exploit、解决不了问题时“作弊式完成任务”等。例如有一次,Claude 绕过找 Bug 这一步,直接调用系统命令弹计算器。
这说明现在的大模型,还需要专业人员盯着、纠偏、提供调试反馈。Pedhapati 的 20 小时,也基本都花在把这些毛病掰回来上。
可真正让人担心的恰恰是:哪怕模型已经这么笨拙了,它却还是成功了。
那下一代模型呢?如果上下文更长、推理更稳、自动化更强、成本更低,人类介入时间越来越少,黑客的攻击门槛自然也会持续下降:过去,厂商发布安全补丁后,攻击者要花不少时间逆向分析修复内容,找出 Bug 原理,再写利用代码;如今,AI 可以加速这个流程。
Pedhapati 认为,随着 AI 模型在 Bug 利用开发上越来越强,补丁空窗期会被压缩得越来越短:
“每个补丁本质上都是一个 Bug 提示。”
不仅如此,这对开源项目尤其麻烦,因为修复 commit 在修订版本发布之前就已经在代码仓库里公开可见了,但稳定版往往会稍晚发布,而大量用户尚未升级——这个时间差,可能正在变成 AI 的主战场。
为此,Pedhapati 给开发者的建议是:代码 push 之前就要更重视安全审查;维护一份完整的关键依赖版本清单,知道自己跑的是什么;安全补丁应该自动应用,不需要用户点“确认”;开源项目在公开 Bug 细节的时机上要更加谨慎——因为每一个公开的 commit,都是“发令枪”。
Mythos 是否强大,也许已经不重要了
最后,回到 Mythos。外界还在讨论 Anthropic 为什么不公开 Mythos,是不是过度营销、夸大威胁。对此,Pedhapati 的回答是:这不重要。
这次实验已经说明:即使“最强模型”没开放,现有的公开模型也足够开始改变攻防格局。
“Mythos 是不是被吹过头了根本不重要,”Pedhapati 说,“这条曲线并没有变平。就算不是 Mythos,也会是下一个版本,或者再下一个。迟早有一天,任何一个有耐心、有个 API key 的脚本小子都能在没打补丁的软件上弹 shell。问题不是会不会发生,而是什么时候发生。”
所以,真正的转折点,可能不是某一天突然出现“超级黑客 AI”,而是从现在开始:exploit 开发越来越快、Bug 分析越来越便宜、未更新软件越来越危险。
这次,还需要 2283 美元和一周时间;下一次,可能只需要几十美元,外加一杯咖啡的时间。
参考链接
https://www.hacktron.ai/blog/i-let-claude-opus-to-write-me-a-chrome-exploit
本文来自微信公众号“CSDN”,作者:郑丽媛 ,36氪经授权发布。
