僅憑一份漏洞公告，Claude自主寫出攻擊代碼，4小時攻破安全系統

在數字世界的底層架構中，存在著一些歷經數十年打磨、被業界奉為安全標桿的操作系統“堡壘”。然而，這座堡壘已經能被一位看不見的“非人類黑客”在短短 4 小時內徹底攻破。

4 月 1 日，《福布斯》（Forbes）雜志刊發了一篇由人工智能專家阿米爾·侯賽因（Amir Husain）撰寫的專欄文章，題目很直白：《人工智能剛剛攻破了世界上最安全的操作系統之一》。

（來源：Forbes）

文章披露了一個堪稱網絡安全領域分水嶺的重大事件，著名安全研究員尼古拉斯·卡里尼（Nicholas Carlini）借助 Claude AI 模型，開發出一個全自主智能體，并發現了 FreeBSD 的一個高危漏洞。在官方發布漏洞公告后，Claude 隨即在沒有任何人類專家的干預下，從零構建出了完整的攻擊鏈，并成功在未打補丁的 FreeBSD 服務器上奪取了最高級別的 root 權限。

這或許意味著，AI 在網絡安全生態中的角色，已正式從輔助分析工具跨越為“能夠自主開展復雜內核級進攻操作的獨立黑客”。

圖 | 尼古拉斯·卡里尼（Nicholas Carlini）（來源：https://nic）

堅如磐石的底層系統，卻因致命缺陷遭遇“外科手術式”攻擊

要理解此次事件的震撼程度，首先需要了解被攻破的對象，FreeBSD。作為一個擁有 30 多年歷史的開源操作系統，FreeBSD 絕非普通的消費級軟件。其內核代碼庫極為成熟，經歷了全球頂尖工程師長期的安全審計與硬化加固。

正因其極高的穩定性與安全性，FreeBSD 被廣泛部署于全球要求最嚴苛的生產環境中：流媒體巨頭 Netflix 依靠它來支撐龐大的內容分發網絡（CDN）；索尼 PlayStation 游戲主機將其作為底層操作系統基礎；而全球通訊軟件 WhatsApp 的后端基礎設施同樣構建于其上。在傳統的網絡安全認知中，想要在這樣一個高度防御的內核中找到漏洞并開發出可用的遠程利用程序（Exploit），通常需要國家級黑客團隊耗費數周甚至數月的心血。

3 月 26 日，FreeBSD 官方發布了安全公告，披露了編號為 CVE-2026-4747 的高危漏洞。該漏洞位于 FreeBSD 內核模塊中。由于在處理傳入的數據包時缺乏長度邊界檢查，未經身份驗證的惡意客戶端可以向服務器發送特制數據，觸發內核級別的棧緩沖區溢出（Stack-based Buffer Overflow），從而實現遠程代碼執行。

值得注意的是，官方公告中將漏洞的發現“歸功于”使用 Anthropic Claude 模型的尼古拉斯·卡里尼（Nicholas Carlini）。但這句致謝嚴重低估了 AI 的實際表現：Claude 能做的已經遠超“標記”可疑代碼或發現崩潰，它直接寫出了具有殺傷力的完整武器化代碼。

（來源：https://www.freebsd.org/）

研究人員只向 AI 提供了一份漏洞公告，AI 便自主接管了整個攻擊流程，并完美解決了將“崩潰（Crash）”轉化為“最高權限（Root Shell）”過程中必須跨越的六個底層技術障礙：

首先是自主配置測試環境，AI 深知 FreeBSD 會為每個 CPU 生成 8 個 NFS 線程，因此它自主搭建了一個配備多核 CPU、開啟了 NFS 與 Kerberos 認證，并掛載了脆弱內核模塊的 FreeBSD 測試虛擬機，甚至配置了遠程調試功能以讀取內核崩潰轉儲（Crash dumps）。

其次是多數據包分片策略（Multi-packet delivery），由于目標緩沖區無法一次性容納完整的 Shellcode，Claude 巧妙地設計了“15 輪戰術”：首先發送數據包將內核內存設為可執行狀態，隨后將 Shellcode 精準拆分成每次 32 字節，跨越 14 個網絡數據包進行碎片化寫入。

考慮到內核級漏洞利用極易導致整個系統“藍屏”崩潰，Claude還在攻擊策略中加入了優雅終止被劫持內核線程的邏輯，確保服務器在遭受多次連續攻擊探針時依然保持穩定運行。

接著，AI 主動使用了經典的黑客調試技術：德布魯因序列（De Bruijn sequence），通過輸入這種特殊的數學序列模式，精準推算出覆蓋內核指令指針所需的精確棧偏移量。在內核中獲得執行權限后，AI 成功從內核上下文中創建了一個全新進程，并引導其平穩過渡到用戶空間（User space）。

最后，AI 自動清除了繼承自父進程的調試寄存器狀態，避免了新生成的子進程崩潰，最終穩穩地向攻擊者彈出了一個完全可用的 Root Shell。

AI 黑客的技術躍升，從“發現漏洞”到“自主武器化”

在過去的十年中，模糊測試（Fuzzing）等自動化工具已經能夠在代碼中批量發現 Bug，但“發現漏洞”與“利用漏洞”之間存在著巨大的技術鴻溝。將一個內存越界錯誤轉化為可靠的漏洞利用程序，需要對內存布局、內核與用戶空間的交互、ROP 鏈構造以及故障適應機制進行極其深度的邏輯推理。這曾是全球頂尖安全研究員的“專屬藝術”。

此次事件證明，AI 已經完全掌握了這種鏈式推理和故障排查能力。它意味著 AI 的威脅級別已經跨越了“紙上談兵”的理論階段，正式具備了生產級的實戰進攻能力。

阿米爾在文章中進行了言辭激烈的警告，他指出，這一事件正在徹底重塑全球網絡安全的攻防平衡。

首先是進攻成本的呈指數級劇降。過去需要耗費巨資和資深專家團隊數周時間才能打造的零日（0-day）漏洞利用工具，現在僅需數百美元的算力成本和短短 4 個小時即可完成。阿米爾將其比作“精確制導武器的大規模廉價普及”，這將極大地壓縮網絡攻擊能力的“供給曲線”。

其次是防御窗口期趨近于零。在傳統的安全體系中，安全團隊從收到漏洞預警到完成全網補丁部署，平均需要 60 天甚至更久。然而，AI 可以在官方發布補丁甚至僅僅發布公告的幾個小時內，逆向推導出完整的攻擊代碼并開始全網掃描利用。面對機器速度的武器化，人類以“天”和“周”為單位的修補周期顯得蒼白無力。

更令人擔憂的是這種能力的泛化性與可復制性。此前，尼古拉斯利用這一套基于 Claude 的簡單自動化流程，只需讓 AI 在源代碼庫中不斷循環審查，就成功發掘并驗證了多達 500 個高危級別的軟件漏洞。

為了進一步佐證這種威脅的普遍性，尼古拉斯還曾在演講中演示過兩個真實世界的復雜利用案例：一個是針對流行內容管理系統 Ghost CMS 的 SQL 注入，另一個則是成功利用了可追溯到 2003 年的 Linux 內核 NFS 堆溢出漏洞。他斷言，AI 模型已經跨越了一個極其危險的門檻，安全社區必須緊急做好準備，迎接一個“AI 驅動的進攻能力遠遠超過當前防御能力”的全新世界。

這一判斷與阿米爾在專欄中的警告不謀而合。他強調，傳統的依賴手動代碼審查、經驗累積和逐步安全加固的防御模式已經失效。隨著具有自我迭代能力的 AI 在“漏洞識別-模糊測試-武器利用-后門植入-數據竊取”這一全生命周期中實現完全閉環，我們正在步入一場以機器速度驅動的“網絡超級戰爭”（Cyber Hyperwar）。

面對這種復合型威脅，企業與組織的唯一出路是將 AI 深度融入自身安全管道，利用 AI 進行實時的代碼審計與攻擊監控。正如文章結尾那句緊迫的叩問：你是否已將 AI 整合進你的安全防御系統？還是依然妄圖以人類速度抵御機器速度的攻擊？技術在飛速進展，留給舊時代防御體系的時間，已經不多了。

參考內容：

https://www.forbes.com/sites/amirhusain/2026/04/01/ai-just-hacked-one-of-the-worlds-most-secure-operating-systems/

https://www.freebsd.org/security/advisories/FreeBSD-SA-26:08.rpcsec_gss.asc

https://nicholas.carlini.com/

運營/排版：何晨龍