在數字世界的底層架構中,存在着一些歷經數十年打磨、被業界奉爲安全標杆的操作系統“堡壘”。然而,這座堡壘已經能被一位看不見的“非人類黑客”在短短 4 小時內徹底攻破。
4 月 1 日,《福布斯》(Forbes)雜誌刊發了一篇由人工智能專家阿米爾·侯賽因(Amir Husain)撰寫的專欄文章,題目很直白:《人工智能剛剛攻破了世界上最安全的操作系統之一》。
(來源:Forbes)
文章披露了一個堪稱網絡安全領域分水嶺的重大事件,著名安全研究員尼古拉斯·卡里尼(Nicholas Carlini)藉助 Claude AI 模型,開發出一個全自主智能體,並發現了 FreeBSD 的一個高危漏洞。在官方發佈漏洞公告後,Claude 隨即在沒有任何人類專家的干預下,從零構建出了完整的攻擊鏈,併成功在未打補丁的 FreeBSD 服務器上奪取了最高級別的 root 權限。
這或許意味着,AI 在網絡安全生態中的角色,已正式從輔助分析工具跨越爲“能夠自主開展複雜內核級進攻操作的獨立黑客”。
圖 | 尼古拉斯·卡里尼(Nicholas Carlini)(來源:https://nicholas.carlini.com/)
堅如磐石的底層系統,卻因致命缺陷遭遇“外科手術式”攻擊
要理解此次事件的震撼程度,首先需要了解被攻破的對象,FreeBSD。作爲一個擁有 30 多年曆史的開源操作系統,FreeBSD 絕非普通的消費級軟件。其內核代碼庫極爲成熟,經歷了全球頂尖工程師長期的安全審計與硬化加固。
正因其極高的穩定性與安全性,FreeBSD 被廣泛部署於全球要求最嚴苛的生產環境中:流媒體巨頭 Netflix 依靠它來支撐龐大的內容分發網絡(CDN);索尼 PlayStation 遊戲主機將其作爲底層操作系統基礎;而全球通訊軟件 WhatsApp 的後端基礎設施同樣構建於其上。在傳統的網絡安全認知中,想要在這樣一個高度防禦的內核中找到漏洞並開發出可用的遠程利用程序(Exploit),通常需要國家級黑客團隊耗費數週甚至數月的心血。
3 月 26 日,FreeBSD 官方發佈了安全公告,披露了編號爲 CVE-2026-4747 的高危漏洞。該漏洞位於 FreeBSD 內核模塊中。由於在處理傳入的數據包時缺乏長度邊界檢查,未經身份驗證的惡意客戶端可以向服務器發送特製數據,觸發內核級別的棧緩衝區溢出(Stack-based Buffer Overflow),從而實現遠程代碼執行。
值得注意的是,官方公告中將漏洞的發現“歸功於”使用 Anthropic Claude 模型的尼古拉斯·卡里尼(Nicholas Carlini)。但這句致謝嚴重低估了 AI 的實際表現:Claude 能做的已經遠超“標記”可疑代碼或發現崩潰,它直接寫出了具有殺傷力的完整武器化代碼。
(來源:https://www.freebsd.org/)
研究人員只向 AI 提供了一份漏洞公告,AI 便自主接管了整個攻擊流程,並完美解決了將“崩潰(Crash)”轉化爲“最高權限(Root Shell)”過程中必須跨越的六個底層技術障礙:
首先是自主配置測試環境,AI 深知 FreeBSD 會爲每個 CPU 生成 8 個 NFS 線程,因此它自主搭建了一個配備多核 CPU、開啓了 NFS 與 Kerberos 認證,並掛載了脆弱內核模塊的 FreeBSD 測試虛擬機,甚至配置了遠程調試功能以讀取內核崩潰轉儲(Crash dumps)。
其次是多數據包分片策略(Multi-packet delivery),由於目標緩衝區無法一次性容納完整的 Shellcode,Claude 巧妙地設計了“15 輪戰術”:首先發送數據包將內核內存設爲可執行狀態,隨後將 Shellcode 精準拆分成每次 32 字節,跨越 14 個網絡數據包進行碎片化寫入。
考慮到內核級漏洞利用極易導致整個系統“藍屏”崩潰,Claude還在攻擊策略中加入了優雅終止被劫持內核線程的邏輯,確保服務器在遭受多次連續攻擊探針時依然保持穩定運行。
接着,AI 主動使用了經典的黑客調試技術:德布魯因序列(De Bruijn sequence),通過輸入這種特殊的數學序列模式,精準推算出覆蓋內核指令指針所需的精確棧偏移量。在內核中獲得執行權限後,AI 成功從內核上下文中創建了一個全新進程,並引導其平穩過渡到用戶空間(User space)。
最後,AI 自動清除了繼承自父進程的調試寄存器狀態,避免了新生成的子進程崩潰,最終穩穩地向攻擊者彈出了一個完全可用的 Root Shell。
AI 黑客的技術躍升,從“發現漏洞”到“自主武器化”
在過去的十年中,模糊測試(Fuzzing)等自動化工具已經能夠在代碼中批量發現 Bug,但“發現漏洞”與“利用漏洞”之間存在着巨大的技術鴻溝。將一個內存越界錯誤轉化爲可靠的漏洞利用程序,需要對內存佈局、內核與用戶空間的交互、ROP 鏈構造以及故障適應機制進行極其深度的邏輯推理。這曾是全球頂尖安全研究員的“專屬藝術”。
此次事件證明,AI 已經完全掌握了這種鏈式推理和故障排查能力。它意味着 AI 的威脅級別已經跨越了“紙上談兵”的理論階段,正式具備了生產級的實戰進攻能力。
阿米爾在文章中進行了言辭激烈的警告,他指出,這一事件正在徹底重塑全球網絡安全的攻防平衡。
首先是進攻成本的呈指數級劇降。過去需要耗費巨資和資深專家團隊數週時間才能打造的零日(0-day)漏洞利用工具,現在僅需數百美元的算力成本和短短 4 個小時即可完成。阿米爾將其比作“精確制導武器的大規模廉價普及”,這將極大地壓縮網絡攻擊能力的“供給曲線”。
其次是防禦窗口期趨近於零。在傳統的安全體系中,安全團隊從收到漏洞預警到完成全網補丁部署,平均需要 60 天甚至更久。然而,AI 可以在官方發佈補丁甚至僅僅發佈公告的幾個小時內,逆向推導出完整的攻擊代碼並開始全網掃描利用。面對機器速度的武器化,人類以“天”和“周”爲單位的修補週期顯得蒼白無力。
更令人擔憂的是這種能力的泛化性與可複製性。此前,尼古拉斯利用這一套基於 Claude 的簡單自動化流程,只需讓 AI 在源代碼庫中不斷循環審查,就成功發掘並驗證了多達 500 個高危級別的軟件漏洞。
爲了進一步佐證這種威脅的普遍性,尼古拉斯還曾在演講中演示過兩個真實世界的複雜利用案例:一個是針對流行內容管理系統 Ghost CMS 的 SQL 注入,另一個則是成功利用了可追溯到 2003 年的 Linux 內核 NFS 堆溢出漏洞。他斷言,AI 模型已經跨越了一個極其危險的門檻,安全社區必須緊急做好準備,迎接一個“AI 驅動的進攻能力遠遠超過當前防禦能力”的全新世界。
這一判斷與阿米爾在專欄中的警告不謀而合。他強調,傳統的依賴手動代碼審查、經驗累積和逐步安全加固的防禦模式已經失效。隨着具有自我迭代能力的 AI 在“漏洞識別-模糊測試-武器利用-後門植入-數據竊取”這一全生命週期中實現完全閉環,我們正在步入一場以機器速度驅動的“網絡超級戰爭”(Cyber Hyperwar)。
面對這種複合型威脅,企業與組織的唯一出路是將 AI 深度融入自身安全管道,利用 AI 進行實時的代碼審計與攻擊監控。正如文章結尾那句緊迫的叩問:你是否已將 AI 整合進你的安全防禦系統?還是依然妄圖以人類速度抵禦機器速度的攻擊?技術在飛速進展,留給舊時代防禦體系的時間,已經不多了。
參考內容:
https://www.forbes.com/sites/amirhusain/2026/04/01/ai-just-hacked-one-of-the-worlds-most-secure-operating-systems/
https://www.freebsd.org/security/advisories/FreeBSD-SA-26:08.rpcsec_gss.asc
https://nicholas.carlini.com/
運營/排版:何晨龍
