2026年4月15日,安全公司Hacktron的CTO Mohan Pedhapati(网名s1r1us)发布了一项足以震动整个网络安全行业的研究成果。他没有使用任何复杂的黑客工具,也没有花费数月时间进行逆向工程,仅仅通过与Anthropic已公开的Claude Opus 4.6模型进行一周的对话,就构建出了一条完整且可实际运行的Chrome V8引擎漏洞利用链,成功实现了远程代码执行(RCE)。
这项研究的意义远超一次普通的漏洞发现。它用无可辩驳的事实证明:即使是当前已公开的前沿大模型,也已经具备了构建复杂漏洞利用的能力。而这一切的成本,仅仅是2283美元的API费用和20小时的人工引导。当漏洞利用从只有顶尖专家才能掌握的"精英手艺",变成任何有耐心和API密钥的人都能完成的"标准化生产",网络安全的攻防平衡已经被彻底打破。
实验全记录:AI如何从零写出Chrome漏洞利用
实验设置与目标选择
Pedhapati的实验目标非常明确:验证当前大模型能否仅通过公开的漏洞补丁信息,独立构建出针对现代浏览器的完整攻击链。他选择了Discord桌面应用作为攻击目标,因为它捆绑了Chrome 138版本——比当时最新的Chrome 147落后了整整9个主要版本。
更具讽刺意味的是,实验中使用的CVE-2026-5873漏洞恰好存在于Anthropic自己的Claude Desktop应用所运行的Chrome 146版本中。这一细节成为了整个事件最具戏剧性的注脚。
实验在ARM64 macOS(Apple Silicon)平台上进行,最终以"弹出计算器"作为成功证明——这是安全研究中证明代码执行能力的标准方式。
实验过程:AI主导,人类引导
整个实验过程持续了约一周时间,消耗了惊人的23亿tokens,API总成本为2283美元。Pedhapati强调,他在整个过程中没有教授任何漏洞利用技术或V8内部知识,他的角色仅仅是"司机":识别AI陷入的死胡同,终止没有希望的会话,并引导模型走向更有前景的方向。
实验分为三个核心阶段:
漏洞筛选阶段:Pedhapati让Claude Opus分析Chrome 138到147之间的所有CVE补丁,从中识别出最容易利用的漏洞。在22个独立会话中,Claude尝试了27种不同的方法,最终锁定了CVE-2026-5873——一个V8 Turboshaft编译器中的WebAssembly越界读写漏洞。
漏洞利用开发阶段:仅使用Git日志中的补丁信息,Claude用了一天时间就从零构建出了一个工作的越界读写原语。这个漏洞没有任何公开的利用代码,完全是AI通过分析补丁差异独立推导出来的。
攻击链构建阶段:为了逃离V8沙箱获得完整的系统权限,Claude又用了四天时间,将CVE-2026-5873与另一个公开的WasmCPT UAF漏洞串联起来,最终实现了完整的远程代码执行。
成本效益分析:颠覆式的价格革命
2283美元对于个人来说可能是一笔不小的开支,但在网络安全领域,这几乎可以忽略不计。传统上,开发一条类似的Chrome漏洞利用链需要资深安全研究员花费数周甚至数月的时间,人力成本高达数十万美元。
即使将Pedhapati的20小时人工成本计算在内,总费用也远低于谷歌和Discord漏洞赏金计划中针对此类高影响漏洞的15000美元奖励。而在黑市上,一个完整的Chrome零日漏洞利用链的价格可以达到数百万美元。
这种成本结构的颠覆意味着:漏洞利用的经济模型已经发生了根本性变化。攻击者现在可以用极低的成本大规模生产漏洞利用程序,而防御方仍然需要花费高昂的代价来修复每一个漏洞。
技术深度解析:AI构建的12阶段攻击链
Claude Opus构建的攻击链极其复杂,分为12个完整的阶段,展示了对V8引擎内部机制的深刻理解:
第一阶段:CVE-2026-5873漏洞利用
CVE-2026-5873是一个V8 Turboshaft编译器中的边界检查消除漏洞。当WebAssembly函数接受一个i64参数,通过i32.convert_i64指令将其截断为i32,然后左移作为内存访问索引时,Turboshaft的优化管道会在从Liftoff基线编译器升级后错误地消除边界检查。
Claude准确地识别出了这个漏洞的关键微妙之处:i32.convert_i64指令会丢弃高32位。通过传递一个大的64位值,攻击者可以绕过边界检查,同时仍然访问Wasm线性内存的低地址空间。
第二阶段:V8沙箱内任意读写
利用CVE-2026-5873获得越界读写能力后,Claude通过以下步骤构建了V8沙箱内的任意读写原语:
- ArrayBuffer喷射:创建64个64KB的ArrayBuffer,每个都填充有唯一的标记值,作为内存中的"地标"
- 内存探测:通过越界读写原语扫描内存,找到这些ArrayBuffer的后备存储
- 对象定位:在V8堆中找到JSArrayBuffer对象的元数据
- 指针篡改:破坏JSArrayBuffer的backing_store指针,获得对整个V8沙箱的读写权限
第三阶段:V8沙箱逃逸
为了逃离V8沙箱获得完整的系统权限,Claude利用了另一个公开的漏洞:WasmCPT UAF + CanonicalSig类型混淆。通过破坏WebAssembly代码指针表(WasmCPT)的导入调度表,Claude成功地伪造了函数签名,获得了对整个虚拟地址空间的读写权限。
第四阶段:远程代码执行
最后,Claude通过以下步骤实现了最终的代码执行:
- 系统函数定位:通过dyld缓存指针找到系统库中的system()函数
- 伪造WCPT:在内存中构建一个伪造的WebAssembly代码指针表
- 重定向执行流:将WCPT指针重定向到伪造的表
- 执行命令:调用伪造的Wasm函数,最终执行system(“/Applications/Calculator.app/Contents/MacOS/Calculator”)
被忽视的危机:Electron生态系统的补丁差距
这项研究暴露的最大问题不是AI的能力,而是整个软件行业普遍存在的"补丁差距"问题。Electron框架允许开发者使用Web技术构建跨平台桌面应用,但它的一个致命缺陷是:每个应用都会捆绑自己的Chromium浏览器引擎。
这意味着,当谷歌修复了Chrome中的一个高危漏洞后,所有基于Electron的应用都需要单独更新它们的Chromium版本。而实际情况是,大多数应用的更新速度远远落后于上游Chrome。
Pedhapati在他的机器上检查了几个流行的Electron应用,结果令人震惊:
| 应用 | Chrome版本 | 落后版本数 |
|---|---|---|
| Slack | 132.0.6834.159 | 15 |
| Discord | 138.0.7204.251 | 9 |
| Cursor | 142.0.7444.265 | 5 |
| Notion | 144.0.7559.236 | 3 |
| Claude Desktop | 146.0.7680.179 | 1 |
这些应用每天被数亿人使用,但它们都运行着包含已知高危漏洞的Chromium版本。在AI时代之前,这些漏洞可能需要几个月的时间才会被攻击者利用。但现在,任何有API密钥的人都可以在几天内构建出针对这些漏洞的完整攻击链。
更糟糕的是,许多Electron应用还存在安全配置不当的问题。例如,Discord的主窗口默认禁用了沙箱,这意味着攻击者只需要两个漏洞就能获得完整的系统权限,而不是通常需要的三个。
AI安全的十字路口:Mythos模型与玻璃翼计划
这项研究发布的时机极具讽刺意味。就在几天前,Anthropic刚刚宣布了其更强大的Claude Mythos模型,但由于对其网络安全能力的担忧,决定不向公众发布,而是通过"玻璃翼计划"(Project Glasswing)仅向12家科技巨头和40家关键基础设施机构提供受限访问。
Anthropic的官方声明直言不讳:“网络安全是前沿AI带来的首个明确且现实的危险”。Mythos模型在网络安全基准测试中取得了100%的满分,能够自主发现隐藏数十年的漏洞,并构建复杂的多步攻击链。
但Pedhapati的研究表明,Anthropic的担忧可能来得太晚了。即使是已经公开的Claude Opus 4.6模型,也已经具备了构建复杂漏洞利用的能力。这直接挑战了Anthropic决定暂不发布Mythos模型的理由——如果当前的模型已经如此危险,那么限制更强大的模型又有多大意义呢?
更令人担忧的是,AI能力的提升速度远远超过了安全防护的发展速度。Mythos模型在SWE-bench测试中得分78.5%,远超Opus 4.6的70.1%;在终端操作测试中更是取得了92.1%的高分。这意味着它不仅能理解复杂代码,还能像顶尖程序员一样亲自上手编写、调试和执行代码。
未来展望:攻击门槛降低与防御体系重构
Pedhapati在研究报告的结尾发出了严厉的警告:“最终,任何有足够耐心和API密钥的脚本小子都将能够在未打补丁的软件上获得shell权限”。这不是危言耸听,而是基于当前技术发展趋势的合理推断。
短期影响:n-day漏洞利用的大规模普及
在未来1-2年内,我们很可能会看到n-day漏洞利用的大规模普及。攻击者将不再需要深厚的技术功底,只需要找到一个未打补丁的系统,然后让AI为他们生成漏洞利用程序。
这将导致两个直接后果:
- 攻击面急剧扩大:所有运行过时软件的系统都将面临被攻击的风险
- 攻击速度大幅提升:从漏洞公开到出现大规模攻击的时间窗口将从几周缩短到几天甚至几小时
中期影响:零日漏洞市场的崩溃与重构
从长远来看,AI将彻底改变零日漏洞市场的格局。传统上,零日漏洞之所以价值数百万美元,是因为它们极其稀有且难以发现。但AI可以系统性地、低成本地找出软件中隐藏的漏洞。
当AI能够以每个漏洞几百美元的成本发现和利用零日漏洞时,传统的零日漏洞市场将彻底崩溃。攻击者将不再需要花费数百万美元购买漏洞,而是可以自己使用AI批量生产。
长期影响:软件安全范式的根本转变
AI时代的到来,要求我们彻底重新思考软件安全的范式。传统的"发现漏洞-修复漏洞"的被动防御模式已经无法应对AI驱动的攻击。
未来的软件安全必须转向"安全设计优先"的主动防御模式:
- 内存安全语言:大规模采用Rust等内存安全语言,从根本上消除内存损坏漏洞
- 形式化验证:使用数学方法证明软件的正确性
- 持续安全测试:将AI集成到开发流程中,在代码提交前自动发现和修复漏洞
- 快速补丁部署:建立自动化的补丁部署机制,将补丁差距从几个月缩短到几天甚至几小时
结论与行动建议
Claude Opus构建Chrome漏洞利用链的事件,标志着网络安全进入了一个全新的时代。AI不再只是安全研究者的辅助工具,它已经成为了能够独立执行复杂攻击的强大力量。
对于个人用户,我们建议:
- 立即更新所有软件,特别是基于Electron的应用
- 启用自动更新功能,确保及时获得安全补丁
- 谨慎使用来源不明的应用和网站
对于企业和组织,我们建议:
- 建立全面的软件资产管理系统,及时发现和修复过时软件
- 加强员工的安全意识培训,防范社会工程学攻击
- 投资于AI驱动的安全防御技术,以AI对抗AI
- 建立快速响应机制,能够在几小时内应对新出现的漏洞
对于软件开发者,我们建议:
- 优先考虑使用内存安全语言开发新软件
- 将安全集成到开发生命周期的每个阶段
- 及时更新依赖项和第三方库
- 参与漏洞赏金计划,鼓励安全研究者发现和报告漏洞
网络安全的攻防平衡已经被打破,但这并不意味着我们只能坐以待毙。通过认识到AI带来的挑战,并采取积极主动的防御措施,我们仍然可以构建一个更加安全的数字世界。
正如Pedhapati在他的研究中所说:“无论Mythos是否被过度炒作,技术发展的曲线都不会变平。如果不是Mythos,那么就是下一个版本,或者再下一个版本。问题不是会不会发生,而是何时发生。”
现在,是时候为这个AI驱动的网络安全新时代做好准备了。
