花1.5萬、燒掉23億Token，CTO讓Claude一周“打穿”Chrome！實測結(jié)果：別等Mythos了，現(xiàn)有AI已經(jīng)“高危”

整理 | 鄭麗媛

出品 | CSDN（ID：CSDNnews）

如果你在網(wǎng)絡(luò)安全圈混，最近一定被“Mythos”刷過屏——Anthropic 搞出了一個能挖 Bug 的 AI 模型，但因為怕被壞人濫用，愣是沒敢公開發(fā)布。

聽起來像是一部科幻大片的開場？別急，真正的劇本可能更接“地氣”：因為就在 Mythos 還躺在實驗室里的時候，它的“前輩” Claude Opus 4.6，已經(jīng)在一位 CTO 的指揮下，成功寫出了一個針對 Chrome 的完整 Bug 利用鏈。

代價是：2283 美元（約合人民幣 1.5 萬元）的 API 費(fèi)用，外加 20 小時的“保姆式”指導(dǎo)。

主角不是 Mythos，而是 Claude Opus 4.6

這次實驗來自 Hacktron CTO、研究員 Mohan Pedhapati（網(wǎng)名 s1r1us）。他選擇的工具，并不是傳聞中的 Mythos，而是當(dāng)時已經(jīng)公開提供的 Claude Opus 4.6——甚至這個版本后來還被 Opus 4.7 取代了。

換句話說，他用的不是“未來武器”，而是普通用戶就能接觸到的現(xiàn)成模型。

他把目標(biāo)鎖定在一個很多人每天都在用的軟件 Discord，原因很簡單：Discord 桌面端基于 Electron 構(gòu)建，自帶 Chromium 內(nèi)核，但它所使用的 Chrome 版本明顯落后于官方最新版。

當(dāng)時，Discord 運(yùn)行的是 Chrome 138，而官方 Chrome 已更新至 147，整整落后 9 個大版本——這類版本差距，在安全領(lǐng)域往往意味著一句話：已修復(fù)Bug，很可能仍在用戶電腦里繼續(xù)“裸奔”。

然后，Pedhapati 打開了 Anthropic 的 Claude Opus 4.6，給了它一個任務(wù)：針對這個老舊的 Chrome，寫出一段能攻陷它的代碼。但整個過程并不輕松，用 Pedhapati 自己的話說：

“來回折騰了一周，消耗了 23 億 token，歷經(jīng) 1765 次請求，API 費(fèi)用花了 2283 美元，我還花了大約 20 個小時不停把它從死胡同里拽出來。”

最終成果是：成功彈出了系統(tǒng)計算器（pop calc）。這里解釋一下，“彈計算器”（pop calc）是 Bug 利用圈的行話：當(dāng)你寫的惡意代碼能在別人電腦上打開計算器，就證明你已經(jīng)獲得了執(zhí)行任意命令的能力——也就是說，這個系統(tǒng)被你拿下了。

一周時間，AI 到底做了什么？

根據(jù) Pedhapati 發(fā)布的博文，他讓 Claude Opus 4.6 執(zhí)行的任務(wù)，大致分三步：

（1）第一步：從補(bǔ)丁里找 Bug 機(jī)會

他先整理出 Chrome 138 到 Chrome 147 之間公開修復(fù)的大量 CVE，然后讓模型分析：

● 哪些補(bǔ)丁涉及 V8 引擎

● 哪些改動可能對應(yīng)可利用 Bug

● 哪些更適合構(gòu)造越界讀寫能力

這一步最耗 Token，因為很多路線都會失敗。Claude Opus 4.6 嘗試了幾十種思路，不少看起來有戲的 Bug 最后都走進(jìn)了死胡同。

（2）第二步：構(gòu)造越界訪問能力（OOB）

最終選中的目標(biāo)，是一個 V8 越界讀寫 Bug。據(jù) Pedhapati 介紹，這個核心 Bug 編號為 CVE-2026-5873，修復(fù)于 Chrome 147 版本。Claude 根據(jù)公開 patch 信息，反推出觸發(fā)邏輯，并構(gòu)造出可工作的 OOB（Out-of-Bounds）原語。

簡單理解，就是讓程序訪問“不該訪問的內(nèi)存區(qū)域”，從而為后續(xù)控制程序鋪路。

（3）第三步：繞過保護(hù)機(jī)制，拼成完整攻擊鏈

現(xiàn)代瀏覽器不會因為一個越界 Bug 就輕易被攻破，還存在各種隔離與沙箱機(jī)制。因此 Pedhapati 又讓模型繼續(xù)拼接第二階段 Bug，用來繞過 V8 的保護(hù)邊界，最終拿到任意代碼執(zhí)行能力。

幾天后，整個完整 Bug 利用鏈成功跑通。

2283美元貴嗎？黑客可能覺得很便宜

你可能覺得花兩千多美元就為彈個計算器，太奢侈了。但 Pedhapati 算了一筆賬：

● 一個人類安全研究員，如果不靠 AI 輔助，獨立開發(fā)一個類似的漏洞利用鏈，通常需要數(shù)周的專注工作；

● 就算把他 20 小時的“保姆時間”按幾千美元算進(jìn)去，總成本還是比 Google 和 Discord 漏洞獎勵計劃里的獎金（約 15000 美元）要低得多；

● 更別提黑市上那些匿名買家愿意出的價碼了，據(jù)說有人直接私信開價，愿意給出官方賞金 10 倍的價格。

不過 Pedhapati 也坦言，目前模型并不完美。Claude 在實驗中經(jīng)常出現(xiàn)問題，包括卡在錯誤方向反復(fù)打轉(zhuǎn)、上下文太長后忘了之前做過什么、靠猜測寫 exploit、解決不了問題時“作弊式完成任務(wù)”等。例如有一次，Claude 繞過找 Bug 這一步，直接調(diào)用系統(tǒng)命令彈計算器。

這說明現(xiàn)在的大模型，還需要專業(yè)人員盯著、糾偏、提供調(diào)試反饋。Pedhapati 的 20 小時，也基本都花在把這些毛病掰回來上。

可真正讓人擔(dān)心的恰恰是：哪怕模型已經(jīng)這么笨拙了，它卻還是成功了。

那下一代模型呢？如果上下文更長、推理更穩(wěn)、自動化更強(qiáng)、成本更低，人類介入時間越來越少，黑客的攻擊門檻自然也會持續(xù)下降：過去，廠商發(fā)布安全補(bǔ)丁后，攻擊者要花不少時間逆向分析修復(fù)內(nèi)容，找出 Bug 原理，再寫利用代碼；如今，AI 可以加速這個流程。

Pedhapati 認(rèn)為，隨著 AI 模型在 Bug 利用開發(fā)上越來越強(qiáng)，補(bǔ)丁空窗期會被壓縮得越來越短：

“每個補(bǔ)丁本質(zhì)上都是一個 Bug 提示。”

不僅如此，這對開源項目尤其麻煩，因為修復(fù) commit 在修訂版本發(fā)布之前就已經(jīng)在代碼倉庫里公開可見了，但穩(wěn)定版往往會稍晚發(fā)布，而大量用戶尚未升級——這個時間差，可能正在變成 AI 的主戰(zhàn)場。

為此，Pedhapati 給開發(fā)者的建議是：代碼 push 之前就要更重視安全審查；維護(hù)一份完整的關(guān)鍵依賴版本清單，知道自己跑的是什么；安全補(bǔ)丁應(yīng)該自動應(yīng)用，不需要用戶點“確認(rèn)”；開源項目在公開 Bug 細(xì)節(jié)的時機(jī)上要更加謹(jǐn)慎——因為每一個公開的 commit，都是“發(fā)令槍”。

Mythos是否強(qiáng)大，也許已經(jīng)不重要了

最后，回到 Mythos。外界還在討論 Anthropic 為什么不公開 Mythos，是不是過度營銷、夸大威脅。對此，Pedhapati 的回答是：這不重要。

這次實驗已經(jīng)說明：即使“最強(qiáng)模型”沒開放，現(xiàn)有的公開模型也足夠開始改變攻防格局。

“Mythos 是不是被吹過頭了根本不重要，”Pedhapati 說，“這條曲線并沒有變平。就算不是 Mythos，也會是下一個版本，或者再下一個。遲早有一天，任何一個有耐心、有個 API key 的腳本小子都能在沒打補(bǔ)丁的軟件上彈 shell。問題不是會不會發(fā)生，而是什么時候發(fā)生。”

所以，真正的轉(zhuǎn)折點，可能不是某一天突然出現(xiàn)“超級黑客 AI”，而是從現(xiàn)在開始：exploit 開發(fā)越來越快、Bug 分析越來越便宜、未更新軟件越來越危險。

這次，還需要 2283 美元和一周時間；下一次，可能只需要幾十美元，外加一杯咖啡的時間。

參考鏈接：https://www.hacktron.ai/blog/i-let-claude-opus-to-write-me-a-chrome-exploit