实测结果:别等Mythos了,现有AI已“高危”
来源:互联网 2026-04-22 21:36:03花1.5万、烧掉23亿Token,CTO让Claude一周“打穿”Chrome,实测结果:别等Mythos了,现有AI已经“高危” 最近网络安全圈里,恐怕没人能绕开“Mythos”这个名字。Anthropic 搞出了一个专门挖掘软件漏洞的 AI 模型,却因为担心被恶意利用,至今锁在实验室里没敢放出来
花1.5万、烧掉23亿Token,CTO让Claude一周“打穿”Chrome,实测结果:别等Mythos了,现有AI已经“高危”
最近网络安全圈里,恐怕没人能绕开“Mythos”这个名字。Anthropic 搞出了一个专门挖掘软件漏洞的 AI 模型,却因为担心被恶意利用,至今锁在实验室里没敢放出来。
这听起来像是科幻电影的序章?但现实往往比剧本更直接:就在大家还在猜测 Mythos 的能力时,它的“前辈”——Claude Opus 4.6,已经在一场实战中,成功构建出了一条针对 Chrome 浏览器的完整漏洞利用链。
长期稳定更新的攒劲资源: >>>点此立即查看<<<
整场实验的成本账单一目了然:2283 美元的 API 调用费,加上研究员大约 20 小时的“人工纠偏”时间。
主角不是 Mythos,而是 Claude Opus 4.6
这场实验的操盘手是 Hacktron 公司的 CTO 兼研究员 Mohan Pedhapati。他选择的工具并非神秘的 Mythos,而是当时已经公开可用的 Claude Opus 4.6——甚至这个版本后来已经被 Opus 4.7 所取代。
换句话说,他动用的并非什么“未来武器”,而是任何普通开发者今天就能接触到的现成模型。
他将目标锁定在 Discord 的桌面客户端上,原因很实际:Discord 桌面端基于 Electron 框架构建,内置了 Chromium 内核,但它所使用的 Chrome 版本明显落后于官方迭代。
实验进行时,Discord 运行的是 Chrome 138,而谷歌官方版本已经更新到了 Chrome 147,整整落后了 9 个大版本。在安全领域,这种版本差距通常意味着一件事:许多已在官方版本中修复的安全漏洞,很可能仍在海量用户的电脑里“裸奔”。
接下来,Pedhapati 向 Claude Opus 4.6 下达了核心指令:针对这个老旧的 Chrome 版本,编写出能够攻陷它的代码。整个过程远非一帆风顺,用 Pedhapati 自己的话描述:
“前后折腾了大约一周,消耗了 23 亿个 token,发送了 1765 次请求,API 费用花了 2283 美元。我自己还投入了大约 20 个小时,不断把模型从错误的思路里拉回来。”
最终的成果是:成功在目标系统上弹出了计算器。这里需要解释一下,“弹计算器”是漏洞利用领域的一个经典标志:当一段代码能在他人电脑上执行并打开计算器,就证明攻击者已经获得了在该系统上执行任意命令的能力——相当于系统已被完全控制。
一周时间,AI 到底做了什么?
根据 Pedhapati 发布的详细博文,他引导 Claude Opus 4.6 完成的任务,可以清晰地分为三个步骤:
第一步:从补丁中寻找机会
他首先整理了从 Chrome 138 到 Chrome 147 之间公开修复的大量安全漏洞(CVE),然后让模型系统性地分析:哪些补丁涉及关键的 V8 Ja vaScript 引擎;哪些代码改动可能对应着可利用的安全缺陷;其中哪些又更适合用来构造“越界读写”这种核心攻击能力。
这一步消耗的 token 最多,因为许多尝试的路径最终都走入了死胡同。Claude 尝试了几十种思路,不少起初看起来有希望的漏洞,最后都被证明无法利用。
第二步:构造越界访问能力
最终被选中的目标,是一个 V8 引擎中的越界读写漏洞。该漏洞编号为 CVE-2026-5873,在 Chrome 147 版本中得以修复。Claude 根据公开的补丁信息,反向推导出了触发该漏洞的逻辑,并成功构造出了可工作的“越界读写原语”。
简单来说,就是让程序能够访问本不该触及的内存区域,从而为后续操控程序行为铺平道路。
第三步:绕过保护机制,拼接完整攻击链
现代浏览器并非一个越界漏洞就能轻易攻破的,它们还部署了诸如沙箱等多种隔离保护机制。因此,Pedhapati 继续指导模型寻找并利用第二个阶段的漏洞,用以绕过 V8 的保护边界,最终获取任意代码执行的能力。
几天之后,一条完整的、从漏洞触发到完全控制系统的攻击链,成功构建并运行。
2283 美元贵吗?黑客可能觉得很便宜
你可能会觉得,花两千多美元就为了弹出一个计算器,代价未免太高。但 Pedhapati 算了一笔不一样的账:
首先,一位人类安全研究员,在不借助 AI 辅助的情况下,独立开发一条类似的漏洞利用链,通常需要投入数周的专注工作时间。
其次,即便将他本人 20 小时的指导时间按市场价折算成数千美元,总成本仍然远低于谷歌或 Discord 官方漏洞奖励计划中,针对此类高危漏洞所支付的奖金。
更不必提那些暗网或匿名交易中的报价了。据称,实验公开后,就有人私下联系,开出了远超官方赏金十倍的价格。
当然,Pedhapati 也明确指出,目前的模型远非完美。Claude 在实验中暴露出诸多问题:比如会卡在错误方向上反复打转;当对话上下文过长时,会忘记之前设定的目标;有时会基于猜测编写漏洞利用代码;甚至在解决不了问题时,会尝试“作弊”——例如有一次,它直接绕过了寻找漏洞的步骤,试图调用系统命令来弹计算器。
这一切都说明,当前的大模型仍然需要专业人员在旁监督、纠正方向并提供调试反馈。Pedhapati 那 20 小时,基本都花在了把这些“跑偏”的模型拉回正轨上。
但真正令人担忧的恰恰是:即便模型表现得如此“笨拙”且需要大量人工干预,它最终还是成功了。
那么下一代模型呢?如果它们的上下文窗口更长、推理能力更稳定、自动化程度更高、使用成本更低,所需的人类介入时间必然会大幅减少。这意味着,攻击者的技术门槛正在被系统性拉低。过去,软件厂商发布安全补丁后,攻击者需要花费大量时间逆向分析补丁内容,理解漏洞原理,再手工编写利用代码。如今,AI 正在极大地加速这个流程。
Pedhapati 认为,随着 AI 在漏洞利用开发上的能力不断增强,从补丁发布到攻击代码出现之间的“安全空窗期”,将被压缩得越来越短。用他的话说:
“每一个补丁,本质上都是一份漏洞提示说明书。”
这对于开源项目而言尤其棘手。因为修复漏洞的代码提交(commit)在正式版本发布之前,往往就已经在公开的代码仓库中可见。然而,稳定版的发布通常会滞后,大量用户也不会立即升级——这个时间差,正在成为 AI 驱动攻击的绝佳窗口。
为此,Pedhapati 给开发者和厂商的建议非常具体:在代码提交之前就应加强安全审查;维护一份清晰的关键依赖组件版本清单,确切知道自己在运行什么;安全补丁应实现自动静默更新,无需用户手动确认;开源项目在公开漏洞修复细节的时机上需要更加审慎,因为每一次代码提交的公开,都可能像一声“发令枪”。
Mythos 是否强大,也许已经不重要了
最后,让我们回到 Mythos。外界仍在争论 Anthropic 为何不公开它,这是否是过度营销或夸大威胁。对此,Pedhapati 通过这次实验给出了一个答案:这已经不重要了。
实验本身证明:即便那个“传说中的最强模型”没有开放,现有的、公开可用的模型,也足以开始重塑网络攻防的格局。
“Mythos 是否被过度吹捧根本不重要,” Pedhapati 总结道,“技术发展的曲线并没有放缓。即使不是 Mythos,也会是下一个版本,或者下下个版本。迟早有一天,任何一个有耐心、手握一个 API 密钥的‘脚本小子’,都能在未打补丁的软件上弹出系统控制台。问题不再是‘会不会发生’,而是‘何时发生’。”
所以,真正的转折点,或许并非某天突然降临一个“超级黑客AI”。而是从当下开始,漏洞利用开发的速度越来越快,漏洞分析的成本越来越低,未及时更新的软件所面临的风险越来越高。
这一次,成功需要 2283 美元和一周时间;下一次,代价可能只是几十美元,外加一杯咖啡的功夫。
侠游戏发布此文仅为了传递信息,不代表侠游戏网站认同其观点或证实其描述
