网易首页 > 网易号 > 正文 申请入驻

刚刚,AI用4小时攻破“世界最安全开源系统”

0
分享至


智东西
编译 佳扬
编辑 云鹏

智东西4月1日消息,据福布斯报道,发生在号称“最安全开源系统”的 FreeBSD的安全事件引发行业震动:研究人员借助AI,仅投入4小时算力,就利用漏洞实现了对系统的成功攻破。

这意味着,AI已不再只是辅助工具,而是开始具备将漏洞“武器化”的能力,正在跨过网络安全领域最关键的一道门槛。

作为长期被视为“基础设施级”的操作系统,FreeBSD支撑着Netflix的内容分发,驱动PlayStation的底层系统,也构成WhatsApp的关键基础设施之一,一直以稳定、严谨和安全著称。而这次事件,正在动摇这种“安全神话”。

一、从“发现漏洞”到“利用漏洞”,AI跨过最后一道门槛


在FreeBSD上周披露的CVE-2026-4747安全公告中,漏洞被标注为由研究员Nicholas Carlini借助Claude和Anthropic发现。

但真正值得关注的,并不是“发现漏洞”本身。关键在于:AI完成了整个漏洞的利用过程。

这套系统不仅识别出内核中的远程代码执行漏洞,还独立构建了两套可运行的利用程序,在未打补丁的服务器上成功获取超级用户(root)权限。整个流程耗时约4小时算力。

从技术层面拆解,AI此次瞄准的是FreeBSD内核中的RPCSEC_GSS模块,该模块负责处理NFS服务器的身份验证,恶意客户端无需任何前置身份验证,就能触发栈缓冲区溢出漏洞。

但难点在于“如何利用”。

为了把漏洞变成可执行攻击,AI需要逐一攻克六个高难度问题,而且全部独立完成:

·搭建包含易受攻击内核的测试环境;
·设计多数据包策略,传递单个数据包装不下的shellcode;
·精确终止被劫持的内核线程,确保服务器在攻击间隙不崩溃;
·用De Bruijn模式调试错误的栈偏移量;
·从内核上下文创建新进程,并将其切换到用户空间;
·清除会导致子进程崩溃的继承调试寄存器。

这些步骤要求对操作系统内部机制具备系统级理解。过去,这正是自动化工具难以跨越的“最后一公里”。

长期以来,“发现漏洞”与“利用漏洞”始终是自动化工具与人类专业能力的核心分水岭。过去十几年,模糊测试器(Fuzzer)等工具虽能找到不少内核漏洞,但要将系统崩溃转化为可实际利用的攻击手段,需要推理内存布局、构建复杂编程链、反复调试优化,还要吃透高权限内核与低权限用户空间的复杂交互。

这道门槛,几十年来只有人类专家才能稳稳跨过。

现在,这条线被抹平了。

甚至在部分复杂漏洞的挖掘上,AI已经展现出超越人类专家的能力。

对于安全行业而言,这是一个明确的转折点:AI不再只是辅助工具,而是可以独立发起复杂攻击的行动体。

二、4 小时!AI搞出了国家队水平的网络攻击

在网络安全领域,“漏洞”和“可利用漏洞”之间存在巨大价值差距。在妮可·珀尔罗斯的《这就是他们告诉我世界末日的方式》一书中,漏洞市场的核心从来都不是抽象的漏洞本身,而是可直接部署、可靠的漏洞利用能力。

这类能力之所以昂贵,核心在于稀缺——开发成本高、技术门槛高,且长期掌握在少数顶级机构手中。

2010年,美国和以色列联手采用“震网”病毒(Stuxnet)对伊朗核设施进行网络攻击。这一事件让“漏洞武器化”首次进入公众视野,也证明漏洞利用已经成为国家实力的一部分。

但AI的出现,正在快速打破这种稀缺性。一位研究员仅凭一个前沿AI模型,就能在4小时内完成从漏洞披露到可运行利用程序生成的全流程,这意味着它正在大幅降低“将软件知识转化为实际攻击能力”的成本、时间和专业门槛。这是一种网络领域的“成本压缩”。

过去,开发内核漏洞利用程序需要专家花费数周时间,耗资不菲。如今,只需花费几百美元,耗时四小时的计算任务就能完成。攻击能力的供给曲线已经发生了翻天覆地的变化。

换句话说,过去“稀缺”的能力,正在走向规模化。

这种变化可以类比为精确制导武器的扩散:当成本下降,使用者就会增加,进而改变整个安全格局。

三、AI攻击的速度,人类还能追得上吗?

攻击端的门槛骤降,让防御端的压力雪上加霜。

行业调查显示,企业环境中修复关键漏洞的平均时间超过60天,而AI能在漏洞披露后几小时内,就开发出有效的攻击手段。从补丁发布到漏洞被利用的“时间窗口”,已经从数周压缩到几乎为零。那些还把补丁更新当成季度维护任务的组织,其威胁模型早已过时。

更令人担忧的是,AI擅长发现的,恰恰是人类最难察觉、也最难修补的漏洞,这些漏洞往往隐藏极深,可能在系统中存在十几年而不被发现,一旦被AI挖掘并利用,造成的损失将难以估量。

更重要的是,这种能力具备可复制性。同一位研究人员随后利用基于Claude的流程,在各种代码库中识别出了500个其他高危漏洞。这种方法具有普适性。一旦某种能力出现,它就会扩散开来。国家行为体、犯罪组织和独立研究人员都会开发类似的流程。问题不在于人工智能驱动的漏洞利用是否会普及,而在于其普及速度有多快。

应对之策是组织必须将AI融入其防御体系。这意味着利用AI进行持续的安全审计,而不仅仅是周期性的渗透测试,更在于部署能够实时监控攻击企图的AI系统,从根本上缩短从漏洞披露到部署补丁的周期。

监管框架需要做出调整。目前的合规机制假定安全可以通过检查清单和定期审计来衡量。然而,这些机制并未考虑到随着基础模型不断改进,攻击者的能力也在不断增强。为应对人类速度的攻击而制定的安全法规,不足以应对AI的威胁。

完全自主的漏洞识别、模糊测试、漏洞生成、漏洞应用以及数据窃取或销毁循环可以引发一场新的网络超级战争。

结语:AI时代,网络安全手段需要更新

人类以经验和周期构建防线,而AI以算力和速度发起攻击。当“发现漏洞—利用漏洞”的链路被彻底自动化,安全不再是一个可以缓慢加固的过程,而变成一场持续对抗的竞速。

FreeBSD漏洞并非个例。它是AI能够自主生成过去需要国家级项目才能实现的攻击能力的首批清晰例证之一。

未来十二个月内,所有主流操作系统供应商、云服务提供商和关键基础设施运营商都将面临同样的问题:你们是否已将AI融入安全防护体系,还是仍然以人类的速度抵御机器速度的威胁?

来源:福布斯

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐
Shams重磅爆料!詹姆斯三大心仪下家出炉,金州勇士不在其中

Shams重磅爆料!詹姆斯三大心仪下家出炉,金州勇士不在其中

夜白侃球
2026-07-09 18:23:59
赵子琪发文回应小女儿秀场晕倒,否认14岁大女儿无动于衷

赵子琪发文回应小女儿秀场晕倒,否认14岁大女儿无动于衷

看尽落尘花q
2026-07-10 03:27:57
未来一小时,北京顺义、平谷、密云雨量较大

未来一小时,北京顺义、平谷、密云雨量较大

北青网-北京青年报
2026-07-10 11:20:03
以色列警告特朗普:伊朗的谋杀阴谋

以色列警告特朗普:伊朗的谋杀阴谋

一种观点
2026-07-10 15:22:52
鹿晗遭“拆家式”爆料仅3天,司晓迪曝吃药实情,用道歉狠狠打脸

鹿晗遭“拆家式”爆料仅3天,司晓迪曝吃药实情,用道歉狠狠打脸

陈意小可爱
2026-07-10 07:59:04
埃尔多安向北约领导人送左轮手枪,每人一支,还配了实弹,英国首相将其报废处理

埃尔多安向北约领导人送左轮手枪,每人一支,还配了实弹,英国首相将其报废处理

极目新闻
2026-07-10 09:32:08
实拍现场不忍细看!排泄物浸透座椅、弄脏航空毛毯,臭气熏天!

实拍现场不忍细看!排泄物浸透座椅、弄脏航空毛毯,臭气熏天!

大稻网络科技
2026-07-10 09:26:48
德尚:很多人认为姆巴佩自私甚至是独裁者,但事实不是这样

德尚:很多人认为姆巴佩自私甚至是独裁者,但事实不是这样

懂球帝
2026-07-10 11:44:14
湖南女子霸占车位,调解10多小时反要求对方道歉,火箭提拔史被扒

湖南女子霸占车位,调解10多小时反要求对方道歉,火箭提拔史被扒

Mr王的饭后茶
2026-07-10 11:00:44
13比8焊死,三块砖白拆了,菲律宾弹劾案,马科斯算漏了一个人

13比8焊死,三块砖白拆了,菲律宾弹劾案,马科斯算漏了一个人

阿天爱旅行
2026-07-09 14:20:10
岳云鹏豪掷千万给5个姐买房,唯独不帮亲弟,根本原因藏不住了

岳云鹏豪掷千万给5个姐买房,唯独不帮亲弟,根本原因藏不住了

古事寻踪记
2026-07-09 16:39:01
新加坡大使:不管中国愿不愿意,全世界把中国和美国放在同层级了

新加坡大使:不管中国愿不愿意,全世界把中国和美国放在同层级了

福建睿平
2026-07-10 06:07:57
大局已定!岛内上千官兵公开求统一,郑丽文手握两岸对话主动权

大局已定!岛内上千官兵公开求统一,郑丽文手握两岸对话主动权

青橘罐头
2026-07-09 07:06:06
支付宝花呗崩了

支付宝花呗崩了

第一财经资讯
2026-07-09 02:17:49
杜江为虐狗事件发声,但因施暴者为未成年人,所以杜江视频被下架

杜江为虐狗事件发声,但因施暴者为未成年人,所以杜江视频被下架

芊手若
2026-07-10 15:28:41
佛得角队门将沃齐尼亚左眼白斑引关注,被传或致失明 眼科医生辟谣:只是翼状胬肉,可能引发散光

佛得角队门将沃齐尼亚左眼白斑引关注,被传或致失明 眼科医生辟谣:只是翼状胬肉,可能引发散光

红星新闻
2026-07-10 12:28:19
至今无解的3大灾难:一次在印度,一次在俄国,中国的最“诡异”

至今无解的3大灾难:一次在印度,一次在俄国,中国的最“诡异”

兵卒史
2026-06-25 04:27:57
“不如洗洗脚!”宝妈精致打扮3小时接女儿,围观大爷眼神太真实

“不如洗洗脚!”宝妈精致打扮3小时接女儿,围观大爷眼神太真实

妍妍教育日记
2026-07-10 09:05:07
4年2.75亿!浓眉哥寻求顶薪续约奇才 勇士难交易他去追詹姆斯

4年2.75亿!浓眉哥寻求顶薪续约奇才 勇士难交易他去追詹姆斯

醉卧浮生
2026-07-10 06:56:57
世界杯大结局?夺冠概率:法国队是第2名2倍 阿根廷重返第3挪威第5

世界杯大结局?夺冠概率:法国队是第2名2倍 阿根廷重返第3挪威第5

风过乡
2026-07-10 08:27:59
2026-07-10 16:12:49
智东西 incentive-icons
智东西
智东西,AI产业新媒体,专注报道人工智能的前沿技术发展,和技术应用带来的千行百业产业变革。
12212文章数 117130关注度
往期回顾 全部

科技要闻

中国开启可回收火箭时代

头条要闻

中国商人在泰遭绑架 绑匪:老大要杀人 60万美金能买命

头条要闻

中国商人在泰遭绑架 绑匪:老大要杀人 60万美金能买命

体育要闻

法国VS摩洛哥:谁才是臭外地的?

娱乐要闻

S妈回应大S遗产卡余额不足42万

财经要闻

长征十号乙首飞告捷 海上网系回收成功

汽车要闻

悦己更悦人 阿维塔07L加长了更加上了豪华

态度原创

本地
艺术
时尚
亲子
公开课

本地新闻

重庆人有自己的避暑桃花源 | 夏天就去「酉」风的地方!

艺术要闻

刚在纳斯达克融了265亿美元,SK海力士上海总部长这样!

今年夏天最流行的4条半裙,配“这件衬衫”减龄又好看!

亲子要闻

东莞老板,靠一本撕不烂、能啃咬的书,逆袭全球第一

公开课

李玫瑾:为什么性格比能力更重要?

无障碍浏览 进入关怀版