租房买房买生意上iU91
蒙城华人网 首页 新闻 综合新闻 查看内容

AI用4小时攻破“世界最安全开源系统”

发布时间: 2026-4-2 15:55| 查看: 1042| 评论: 0|来自: 福布斯

据福布斯报道,发生在号称 “最安全开源系统” 的 FreeBSD的安全事件引发行业震动:研究人员借助AI,仅投入4小时算力,就利用漏洞实现了对系统的成功攻破。

这意味着,AI已不再只是辅助工具,而是开始具备将漏洞“武器化”的能力,正在跨过网络安全领域最关键的一道门槛。

作为长期被视为“基础设施级”的操作系统,FreeBSD支撑着Netflix的内容分发,驱动PlayStation的底层系统,也构成WhatsApp的关键基础设施之一,一直以稳定、严谨和安全著称。而这次事件,正在动摇这种“安全神话”。

一、从“发现漏洞”到“利用漏洞”,AI跨过最后一道门槛

在FreeBSD上周披露的CVE-2026-4747安全公告中,漏洞被标注为由研究员Nicholas Carlini借助Claude和Anthropic发现。

但真正值得关注的,并不是“发现漏洞”本身。关键在于:AI完成了整个漏洞的利用过程。

这套系统不仅识别出内核中的远程代码执行漏洞,还独立构建了两套可运行的利用程序,在未打补丁的服务器上成功获取超级用户(root)权限。整个流程耗时约4小时算力。

从技术层面拆解,AI此次瞄准的是FreeBSD内核中的RPCSEC_GSS模块,该模块负责处理NFS服务器的身份验证,恶意客户端无需任何前置身份验证,就能触发栈缓冲区溢出漏洞。

但难点在于“如何利用”。

为了把漏洞变成可执行攻击,AI需要逐一攻克六个高难度问题,而且全部独立完成:

·搭建包含易受攻击内核的测试环境;

·设计多数据包策略,传递单个数据包装不下的shellcode;

·精确终止被劫持的内核线程,确保服务器在攻击间隙不崩溃;

·用De Bruijn模式调试错误的栈偏移量;

·从内核上下文创建新进程,并将其切换到用户空间;

·清除会导致子进程崩溃的继承调试寄存器。

这些步骤要求对操作系统内部机制具备系统级理解。过去,这正是自动化工具难以跨越的“最后一公里”。

长期以来,“发现漏洞”与“利用漏洞”始终是自动化工具与人类专业能力的核心分水岭。过去十几年,模糊测试器(Fuzzer)等工具虽能找到不少内核漏洞,但要将系统崩溃转化为可实际利用的攻击手段,需要推理内存布局、构建复杂编程链、反复调试优化,还要吃透高权限内核与低权限用户空间的复杂交互。

这道门槛,几十年来只有人类专家才能稳稳跨过。

现在,这条线被抹平了。

甚至在部分复杂漏洞的挖掘上,AI已经展现出超越人类专家的能力。

对于安全行业而言,这是一个明确的转折点:AI不再只是辅助工具,而是可以独立发起复杂攻击的行动体。

二、4 小时!AI搞出了国家队水平的网络攻击在网络安全领域,“漏洞”和“可利用漏洞”之间存在巨大价值差距。在妮可·珀尔罗斯的《这就是他们告诉我世界末日的方式》一书中,漏洞市场的核心从来都不是抽象的漏洞本身,而是可直接部署、可靠的漏洞利用能力。

这类能力之所以昂贵,核心在于稀缺——开发成本高、技术门槛高,且长期掌握在少数顶级机构手中。

2010年,美国和以色列联手采用“震网”病毒(Stuxnet)对伊朗核设施进行网络攻击。这一事件让“漏洞武器化”首次进入公众视野,也证明漏洞利用已经成为国家实力的一部分。

但AI的出现,正在快速打破这种稀缺性。一位研究员仅凭一个前沿AI模型,就能在4小时内完成从漏洞披露到可运行利用程序生成的全流程,这意味着它正在大幅降低“将软件知识转化为实际攻击能力”的成本、时间和专业门槛。这是一种网络领域的“成本压缩”。

过去,开发内核漏洞利用程序需要专家花费数周时间,耗资不菲。如今,只需花费几百美元,耗时四小时的计算任务就能完成。攻击能力的供给曲线已经发生了翻天覆地的变化。

换句话说,过去“稀缺”的能力,正在走向规模化。

这种变化可以类比为精确制导武器的扩散:当成本下降,使用者就会增加,进而改变整个安全格局。

三、AI攻击的速度,人类还能追得上吗?攻击端的门槛骤降,让防御端的压力雪上加霜。

行业调查显示,企业环境中修复关键漏洞的平均时间超过60天,而AI能在漏洞披露后几小时内,就开发出有效的攻击手段。从补丁发布到漏洞被利用的“时间窗口”,已经从数周压缩到几乎为零。那些还把补丁更新当成季度维护任务的组织,其威胁模型早已过时。

更令人担忧的是,AI擅长发现的,恰恰是人类最难察觉、也最难修补的漏洞,这些漏洞往往隐藏极深,可能在系统中存在十几年而不被发现,一旦被AI挖掘并利用,造成的损失将难以估量。

更重要的是,这种能力具备可复制性。同一位研究人员随后利用基于Claude的流程,在各种代码库中识别出了500个其他高危漏洞。这种方法具有普适性。一旦某种能力出现,它就会扩散开来。国家行为体、犯罪组织和独立研究人员都会开发类似的流程。问题不在于人工智能驱动的漏洞利用是否会普及,而在于其普及速度有多快。

应对之策是组织必须将AI融入其防御体系。这意味着利用AI进行持续的安全审计,而不仅仅是周期性的渗透测试,更在于部署能够实时监控攻击企图的AI系统,从根本上缩短从漏洞披露到部署补丁的周期。

监管框架需要做出调整。目前的合规机制假定安全可以通过检查清单和定期审计来衡量。然而,这些机制并未考虑到随着基础模型不断改进,攻击者的能力也在不断增强。为应对人类速度的攻击而制定的安全法规,不足以应对AI的威胁。

完全自主的漏洞识别、模糊测试、漏洞生成、漏洞应用以及数据窃取或销毁循环可以引发一场新的网络超级战争。

结语:AI时代,网络安全手段需要更新人类以经验和周期构建防线,而AI以算力和速度发起攻击。当“发现漏洞—利用漏洞”的链路被彻底自动化,安全不再是一个可以缓慢加固的过程,而变成一场持续对抗的竞速。

FreeBSD漏洞并非个例。它是AI能够自主生成过去需要国家级项目才能实现的攻击能力的首批清晰例证之一。

未来十二个月内,所有主流操作系统供应商、云服务提供商和关键基础设施运营商都将面临同样的问题:你们是否已将AI融入安全防护体系,还是仍然以人类的速度抵御机器速度的威胁?

标签: 科技

最新评论

免责声明:本文仅代表作者个人观点,与蒙城华人网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。如发现稿件侵权,或作者不愿在蒙城华人网发布文章,请版权拥有者通知蒙城华人网处理。
汽车制造商展示新防盗安全功能,以阻止加拿大汽车盗窃
汽车制造商展示新防盗安全功能,以阻止加拿
福特(Ford)汽车公司 周二在其加拿大安省 Oakville 工厂展示了一项新的安全功能,希
特朗普宣布美伊停火结束!油价暴涨6%,股市吓崩
特朗普宣布美伊停火结束!油价暴涨6%,股市
7 月 8 日,美国总统特朗普宣布与伊朗的临时停火协议“已经结束”,推动油价飙升超过
首批20辆中国电动车登陆加拿大:起售价近12万
首批20辆中国电动车登陆加拿大:起售价近12
中国电动车品牌 Lotus(路特斯)旗下首款 SUV Eletre,日前正式登陆加拿大市场。这批
加拿大OAS开支爆炸!若推迟领取年龄,65岁老人恐一夜陷贫
加拿大OAS开支爆炸!若推迟领取年龄,65岁
加拿大老年保障金(OAS)项目的支出预计将大幅上涨,但政府内部备忘录指出,若提高领
蒙特利尔市政府正在对老港的交通进行重新规划
蒙特利尔市政府正在对老港的交通进行重新规
蒙特利尔市政府正对蒙特利尔老港的交通规划进行重新评估,该街区目前拥有数条步行街,
蒙特利尔高中家长的隐私被泄露 要求赔偿每人1500元
蒙特利尔高中家长的隐私被泄露 要求赔偿每
魁省高等法院已受理一项针对 Sir Wilfrid Laurier School Board 的集体诉讼申请。上周
辣妈穿清凉逛超市被拦下 保安:有人会解开你上衣
辣妈穿清凉逛超市被拦下 保安:有人会解开
英国近日遭受极端热浪袭击,高温飙破摄氏37度,日前艾塞克斯郡(Essex)一名31岁的三
北约峰会一度陷入混乱 川普又突然改口了…
北约峰会一度陷入混乱 川普又突然改口了…
周三举行的北约领导人峰会再次出现了争议性的一幕,美国总统川普当天先是要求美国切断
一家三口遭龙卷风卷走坠楼亡 14岁儿子目睹全程
一家三口遭龙卷风卷走坠楼亡 14岁儿子目睹
湖北东部6日晚间遭强对流天气袭击,多地出现强降雨、雷暴大风,部分乡镇甚至出现龙卷
Cineplex家庭影院开播 电影票只要3.99元
Cineplex家庭影院开播 电影
蒙特利尔Cineplex每周六早上11点的家庭影院又开始了,
魁省五百元优惠机票可以去哪儿玩?
魁省五百元优惠机票可以去哪
2022年6月1日起,魁省政府推出了“空中准入地区计划”
蒙特利尔郊外新开一家北美最大的蹦床公园
蒙特利尔郊外新开一家北美最
魁北克省 Mont-Saint-Grégoire 山脚下新开了一家北美
魁省迎来北美第一家全包型滑雪度假村 现在只要160元
魁省迎来北美第一家全包型滑
近日,全球知名的法国度假连锁集团Club Med宣布位于魁
刺激!飞跃安魁两省边界!400米长滑索开放!
刺激!飞跃安魁两省边界!40
安省和相邻省的边界已正式开放!肯定会有很多小伙伴驾

Copyright © 1999 - 2026 by Sinoquebec Media Inc. All Rights Reserved 未经许可不得摘抄  |  GMT-4, 2026-7-9 01:34 , Processed in 0.136448 second(s), 23 queries .