Anthropic 研究:AI 数小时内即可从安全补丁构建漏洞利用
阅读原文· the-decoder.comAnthropic这个研究给安全圈兜头一盆冷水,补丁发布后几小时AI就能写出利用代码,微软自动更新还没推送,攻击链已经跑通了。补丁节奏得彻底重设了。
Anthropic 安全团队发现,其 Mythos Preview AI 模型能在几小时内将 Firefox 和 Windows 内核的安全补丁转化为可工作的漏洞利用,成本仅需数千美元,且无需专业知识。在微软自动更新到达任何设备之前,该模型已完成 8 条完整攻击链。Anthropic 认为传统的补丁节奏已经过时。
Anthropic 的研究表明,AI 只需数小时而非数周就能根据安全补丁构建漏洞利用程序
Anthropic 的安全研究团队系统性地测量了大语言模型利用 Firefox 和 Windows 中已知漏洞的速度有多快。研究结果颠覆了长期以来关于补丁策略的假设。
当软件厂商修补安全漏洞时,一场竞赛便开始了。攻击者可以分析补丁,从中逆向工程出漏洞,然后攻击那些尚未安装更新的系统。
根据 Verizon 的数据泄露报告(通过 Anthropic 引用),这些所谓的 N-Day 漏洞造成了现实世界中大量的安全损害。过去,逆向工程补丁是缓慢且专业的工作,这为防御方争取了时间。
Anthropic 安全团队的一项新研究表明,这个缓冲期现在基本消失了。研究人员写道:“一名单兵操作者现在可以在一个下午内,将价值一个月的补丁转化为可用的漏洞利用程序——只需花费几千美元,无需任何专业知识。”
补丁如今成了攻击者的路线图
安全补丁隐式地告诉你漏洞在哪里。攻击者比较新旧代码,定位缺陷。历史上,这个过程需要数周。在 Mandiant 2020 年的一项分析中,25 个漏洞中有 16 个需要一个月或更长时间才能被利用。
Anthropic 测量了大语言模型能多大程度加速这一过程。测试了六款 Claude 模型,其中包括尚未公开的 Mythos Preview。
在第一项测试中,研究人员挑选了 SpiderMonkey(Firefox 的 JavaScript 引擎)的 18 个安全补丁。选择 Firefox 是刻意的:据 Anthropic 称,该浏览器对防御方而言是最理想的情况。它会自动更新,而且 Mozilla 最近将小版本更新的频率从每月一次提高到每周一次。如果连这么短的补丁窗口期都足够被利用,那么其他软件的情况只会更糟。
Mythos Preview 成功崩溃了 18 个漏洞中的 14 个,证明它找到了并理解了每个漏洞。第一个实证出现在 12 分钟后,接下来的 13 个在 40 分钟内陆续出现。第 14 个耗时更长,大约三个小时。Opus 4.5 只成功了 2 个,Opus 4.8 成功了 11 个。
在对每个漏洞进行 50 次重复测试的可靠性试验中,Mythos Preview 在每一次尝试中都成功复现了 18 个漏洞中的 7 个。Opus 4.8 和 Opus 4.6 各自只在一个漏洞上达到了这种一致性水平。
比崩溃更重要的,是模型能否真正利用漏洞在目标系统上运行外来代码。Mythos Preview 在这方面明显领先,在大约十二小时内生成了八个可用的漏洞利用程序。Opus 4.8 完成了两个,Opus 4.6 和 Sonnet 4.6 各完成了一个。首个漏洞利用程序在补丁上线后一小时内就准备就绪,比打过补丁的 Firefox 148 正式发布早了 18 天。
无源代码的 Windows 内核:8 条提权攻击链
第二个测试难度大得多:2026 年 1 月和 2 月“补丁星期二”中 Windows 内核的 21 个漏洞,全部允许攻击者从受限用户账户跃升到完全管理员权限。
与 Firefox 不同,Windows 源代码并不开放。模型必须处理编译后的二进制文件、公共调试符号、Ghidra 分析工具生成的机器反编译结果、变更函数差异对比文件,以及微软的公开安全公告。
Mythos Preview 在不到六小时内找到了 21 个漏洞中的 18 个,总 API 积分成本约为 2,200 美元。Opus 4.8 找到了 15 个,Sonnet 4.6 和 Opus 4.7 各找到了 13 个。
在完全提权方面——从受限用户账户提升到最高权限级别 SYSTEM——Mythos Preview 是唯一成功的模型。它构建了 8 条不同的有效攻击链,总成本约为 15,700 美元,平均每条漏洞利用约 2,000 美元。Opus 4.8 开发了个别的攻击组件,但无法将它们组合成完整的攻击链。
微软将 21 个漏洞中的 14 个归类为“不太可能被利用”或“不可能被利用”。Mythos Preview 破解了这 14 个中的 13 个,甚至对一个被评为“不可能被利用”的漏洞实现了完全提权。据 Anthropic 称,微软的评级系统是针对人类安全研究人员校准的。一旦 Mythos 级别的模型变得更加普及,这种校准就必须改变。
时间因素让情况更糟。即使使用微软的自动更新服务 Windows Autopatch,90% 的已注册设备也需要七天才能获得补丁,强制重启则需要十一天。Mythos Preview 的八条攻击链在任一台设备自动应用补丁之前就已经全部完成了。
公开可用的模型也能构建漏洞利用程序。
Anthropic 强调,公众已可使用的 Claude 模型在关闭安全过滤器时也能开发漏洞利用程序,只是成功率较低。其他公司的模型以及开源模型可能具有类似的能力,这大大扩大了潜在攻击者的范围。
Anthropic 认为,每月发布周期和分阶段更新的旧补丁节奏已经过时。这种节奏基于一个假设:开发一个漏洞利用程序需要数周的专业工作。常用术语“N-Day”(以天为单位衡量补丁与漏洞利用之间的时间)现在具有误导性。“N-Hour”更能描述新的现实。
研究人员承认,一次真正的攻击需要更多步骤,例如寻找易受攻击的目标、传递恶意代码以及绕过检测系统。但尽管这些阶段依然存在,此前最耗时的步骤——漏洞利用开发本身——现在只需数小时。Anthropic 写道,难以或缓慢更新的系统面临最大风险,包括工业控制系统、医疗设备以及具有固定维护窗口或供应商锁定软件的网络设备。
比更快打补丁更持久的解决方案是减少漏洞本身的来源,例如使用内存安全语言(如 Rust)或硬件级保护,一次性消除整类攻击。
该报告是在 Claude Fable 5 发布之前发表的,这是 Anthropic 的 Mythos 变体,具有更强的安全限制。Mythos 5(不带预览标签)仍然只提供给 Anthropic 选定的机构,这对欧盟等方面来说是个问题。
摒弃炒作的 AI 新闻——由人类精选