AI在安全漏洞挖掘领域的能力突破 - 大语言模型（以Anthropic的Claude为代表）在安全漏洞挖掘领域的能力正发生翻天覆地的变化，无需复杂辅助框架即可自主发现并利用重要软件中的零日漏洞，这在几个月前还不可能实现[13][14] - Claude Opus 4.6模型已在开源软件库中自主识别并验证了超过500个高危安全漏洞，这些漏洞此前多年未被社区或专业工具发现[21] - 模型能力进化速度极快，按照Meter曲线，其能力翻倍周期仅为4个月，预计未来几年将持续突飞猛进[14][36][37] 具体漏洞挖掘案例与表现 - **Ghost CMS漏洞**：Claude发现了GitHub上拥有5万星标、以安全著称的Ghost CMS的首个高危漏洞，这是一个SQL注入漏洞，存在于内容API的slug过滤器排序功能中，允许未授权攻击者执行任意数据库读取操作，并直接写出了可利用代码[1][3][26][27] - **Linux内核漏洞**：Claude发现了Linux内核中多个可远程利用的堆缓冲区溢出漏洞，其中一个存在于NFS V4守护进程中的漏洞自2003年以来一直存在，模型还绘制出了详细的攻击流程图[4][29][31][32] - **研究方法**：研究员通过向Claude Code下达类似CTF竞赛的指令，让其自主在受控虚拟机中操作，在90分钟内即可定位高危漏洞并窃取管理员API密钥，通过简单指令迭代即可遍历项目中所有文件[2][3][16][19] 对网络安全行业格局的潜在影响 - **降低安全审计成本**：AI挖掘漏洞的能力将大幅降低安全审计成本，尤其有利于中小企业发展[10] - **改变攻防速度与格局**：攻击者利用大模型发现漏洞的速度可能远快于防御者，漏洞从被发现到被利用的时间可能从几个月缩短到几小时，这将彻底改变相关领域格局[8][43][45] - **发现漏洞类型**：AI擅长发现人类最难发现、最危险且最难修补的复杂漏洞，例如Linux内核中的堆缓冲区溢出漏洞[29][46] 大模型带来的双重用途与安全危机 - **双重用途风险**：最新大语言模型既能用于防御性安全审计，也能被攻击者用来识别并利用漏洞进行攻击，例如窃取智能合约中高达数百万美元的资金[41][42] - **安全危机加剧**：由于攻击者利用AI的速度可能更快，且AI发现的漏洞往往更危险，社区急需立即重视大模型安全问题，并探索解决方案[39][40][46]