花1.5万、烧掉23亿Token，CTO让Claude一周“打穿”Chrome！实测结果：别等Mythos了，现有AI已经“高危”

整理 | 郑丽媛

出品 | CSDN（ID：CSDNnews）

如果你在网络安全圈混，最近一定被“Mythos”刷过屏——Anthropic 搞出了一个能挖 Bug 的 AI 模型，但因为怕被坏人滥用，愣是没敢公开发布。

听起来像是一部科幻大片的开场？别急，真正的剧本可能更接“地气”：因为就在 Mythos 还躺在实验室里的时候，它的“前辈” Claude Opus 4.6，已经在一位 CTO 的指挥下，成功写出了一个针对 Chrome 的完整 Bug 利用链。

代价是：2283 美元（约合人民币 1.5 万元）的 API 费用，外加 20 小时的“保姆式”指导。

主角不是 Mythos，而是 Claude Opus 4.6

这次实验来自 Hacktron CTO、研究员 Mohan Pedhapati（网名 s1r1us）。他选择的工具，并不是传闻中的 Mythos，而是当时已经公开提供的 Claude Opus 4.6——甚至这个版本后来还被 Opus 4.7 取代了。

换句话说，他用的不是“未来武器”，而是普通用户就能接触到的现成模型。

他把目标锁定在一个很多人每天都在用的软件 Discord，原因很简单：Discord 桌面端基于 Electron 构建，自带 Chromium 内核，但它所使用的 Chrome 版本明显落后于官方最新版。

当时，Discord 运行的是 Chrome 138，而官方 Chrome 已更新至 147，整整落后 9 个大版本——这类版本差距，在安全领域往往意味着一句话：已修复Bug，很可能仍在用户电脑里继续“裸奔”。

然后，Pedhapati 打开了 Anthropic 的 Claude Opus 4.6，给了它一个任务：针对这个老旧的 Chrome，写出一段能攻陷它的代码。但整个过程并不轻松，用 Pedhapati 自己的话说：

“来回折腾了一周，消耗了 23 亿 token，历经 1765 次请求，API 费用花了 2283 美元，我还花了大约 20 个小时不停把它从死胡同里拽出来。”

最终成果是：成功弹出了系统计算器（pop calc）。这里解释一下，“弹计算器”（pop calc）是 Bug 利用圈的行话：当你写的恶意代码能在别人电脑上打开计算器，就证明你已经获得了执行任意命令的能力——也就是说，这个系统被你拿下了。

一周时间，AI 到底做了什么？

根据 Pedhapati 发布的博文，他让 Claude Opus 4.6 执行的任务，大致分三步：

（1）第一步：从补丁里找 Bug 机会

他先整理出 Chrome 138 到 Chrome 147 之间公开修复的大量 CVE，然后让模型分析：

● 哪些补丁涉及 V8 引擎

● 哪些改动可能对应可利用 Bug

● 哪些更适合构造越界读写能力

这一步最耗 Token，因为很多路线都会失败。Claude Opus 4.6 尝试了几十种思路，不少看起来有戏的 Bug 最后都走进了死胡同。

（2）第二步：构造越界访问能力（OOB）

最终选中的目标，是一个 V8 越界读写 Bug。据 Pedhapati 介绍，这个核心 Bug 编号为 CVE-2026-5873，修复于 Chrome 147 版本。Claude 根据公开 patch 信息，反推出触发逻辑，并构造出可工作的 OOB（Out-of-Bounds）原语。

简单理解，就是让程序访问“不该访问的内存区域”，从而为后续控制程序铺路。

（3）第三步：绕过保护机制，拼成完整攻击链

现代浏览器不会因为一个越界 Bug 就轻易被攻破，还存在各种隔离与沙箱机制。因此 Pedhapati 又让模型继续拼接第二阶段 Bug，用来绕过 V8 的保护边界，最终拿到任意代码执行能力。

几天后，整个完整 Bug 利用链成功跑通。

2283美元贵吗？黑客可能觉得很便宜

你可能觉得花两千多美元就为弹个计算器，太奢侈了。但 Pedhapati 算了一笔账：

● 一个人类安全研究员，如果不靠 AI 辅助，独立开发一个类似的漏洞利用链，通常需要数周的专注工作；

● 就算把他 20 小时的“保姆时间”按几千美元算进去，总成本还是比 Google 和 Discord 漏洞奖励计划里的奖金（约 15000 美元）要低得多；

● 更别提黑市上那些匿名买家愿意出的价码了，据说有人直接私信开价，愿意给出官方赏金 10 倍的价格。

不过 Pedhapati 也坦言，目前模型并不完美。Claude 在实验中经常出现问题，包括卡在错误方向反复打转、上下文太长后忘了之前做过什么、靠猜测写 exploit、解决不了问题时“作弊式完成任务”等。例如有一次，Claude 绕过找 Bug 这一步，直接调用系统命令弹计算器。

这说明现在的大模型，还需要专业人员盯着、纠偏、提供调试反馈。Pedhapati 的 20 小时，也基本都花在把这些毛病掰回来上。

可真正让人担心的恰恰是：哪怕模型已经这么笨拙了，它却还是成功了。

那下一代模型呢？如果上下文更长、推理更稳、自动化更强、成本更低，人类介入时间越来越少，黑客的攻击门槛自然也会持续下降：过去，厂商发布安全补丁后，攻击者要花不少时间逆向分析修复内容，找出 Bug 原理，再写利用代码；如今，AI 可以加速这个流程。

Pedhapati 认为，随着 AI 模型在 Bug 利用开发上越来越强，补丁空窗期会被压缩得越来越短：

“每个补丁本质上都是一个 Bug 提示。”

不仅如此，这对开源项目尤其麻烦，因为修复 commit 在修订版本发布之前就已经在代码仓库里公开可见了，但稳定版往往会稍晚发布，而大量用户尚未升级——这个时间差，可能正在变成 AI 的主战场。

为此，Pedhapati 给开发者的建议是：代码 push 之前就要更重视安全审查；维护一份完整的关键依赖版本清单，知道自己跑的是什么；安全补丁应该自动应用，不需要用户点“确认”；开源项目在公开 Bug 细节的时机上要更加谨慎——因为每一个公开的 commit，都是“发令枪”。

Mythos是否强大，也许已经不重要了

最后，回到 Mythos。外界还在讨论 Anthropic 为什么不公开 Mythos，是不是过度营销、夸大威胁。对此，Pedhapati 的回答是：这不重要。

这次实验已经说明：即使“最强模型”没开放，现有的公开模型也足够开始改变攻防格局。

“Mythos 是不是被吹过头了根本不重要，”Pedhapati 说，“这条曲线并没有变平。就算不是 Mythos，也会是下一个版本，或者再下一个。迟早有一天，任何一个有耐心、有个 API key 的脚本小子都能在没打补丁的软件上弹 shell。问题不是会不会发生，而是什么时候发生。”

所以，真正的转折点，可能不是某一天突然出现“超级黑客 AI”，而是从现在开始：exploit 开发越来越快、Bug 分析越来越便宜、未更新软件越来越危险。

这次，还需要 2283 美元和一周时间；下一次，可能只需要几十美元，外加一杯咖啡的时间。

参考链接：https://www.hacktron.ai/blog/i-let-claude-opus-to-write-me-a-chrome-exploit