佳扬编辑,云鹏整理
据最新报道显示,在被业内视为最安全开源系统的FreeBSD中发生了重大安全事故。这次事件引起了整个行业的广泛关注:研究人员利用AI技术仅用4小时的计算时间就成功地对系统进行了攻击。
这表明,人工智能已不再仅仅是辅助工具的角色,而是开始具备将潜在漏洞转化为实际威胁的能力,这标志着网络安全领域的一个重要突破点被跨越了。
FreeBSD作为一个长期被认为非常稳定、严谨和安全的操作系统,在支撑Netflix的内容分发、驱动PlayStation的底层系统以及构成WhatsApp的关键基础设施等方面发挥着重要作用。然而此次事件却对FreeBSD的安全形象带来了挑战。
一、“发现漏洞”到“利用漏洞”的转变标志着AI进入新阶段
在上周发布的FreeBSD安全公告中,研究人员Nicholas Carlini使用Claude和Anthropic发现了名为CVE-2026-4747的严重漏洞。
更值得关注的是,此次攻击不仅仅是发现了一处漏洞。更为重要的是,AI成功地完成了整个漏洞利用的过程。
该系统不仅识别出了内核中的远程代码执行漏洞,并且独立创建了两个可运行的利用程序,在未更新补丁的服务器上获得了超级用户权限。整个过程仅消耗大约4小时计算资源。
具体来说,AI此次针对的是FreeBSD内核中的RPCSEC_GSS模块,该模块负责NFS服务器的身份验证。恶意客户端可以在没有预先认证的情况下触发栈缓冲区溢出漏洞。
然而,将这些理论上的安全问题转化为实际的攻击行为是具有挑战性的。
在整个过程中,AI独立地解决了六个复杂的技术难题:
- 设置包含易受攻击内核的测试环境;
- 设计传递shellcode的多数据包策略;
- 确保被劫持线程终止后服务器不会崩溃;
- 使用De Bruijn模式调试错误栈偏移量;
- 从内核上下文中启动新进程并切换到用户空间;
- 清除会引发子进程崩溃的继承调试寄存器。
这些步骤需要对操作系统内部运作有深入理解,以前是自动化工具难以克服的最后一道难关。而现在AI已经成功跨越了这一障碍。
在过去的十几年里,“发现漏洞”和“利用这些漏洞”的能力一直是区分人类专业能力和自动化工具的关键因素之一。而如今这种情况正在发生变化。
这一突破意味着,网络安全行业进入了一个新的转折点:AI不仅能作为辅助工具存在,还可以独立发起复杂的攻击行为。
二、4小时之内!AI完成高水平网络攻击
在信息安全领域,“漏洞”与“可利用的漏洞”之间存在着巨大差距。在妮可·珀尔罗斯所著《这就是他们告诉我世界末日的方式》一书中,强调了将抽象的安全弱点转化为实际威胁的技术能力的重要性。
这种转化过程之所以昂贵且稀有,是因为它需要高技术水平和专业知识,并长期被少数顶级机构掌握着。
例如,“震网”病毒(Stuxnet)事件证明了漏洞利用已经成为国家实力的一部分。而今AI技术的发展正在快速打破这一壁垒。
利用前沿的AI模型,研究人员仅需花费少量时间和资源就能完成从发现到实际攻击的过程。这大大降低了将软件知识转化为现实威胁的成本、时间及专业门槛。
以前开发内核漏洞利用程序可能需要专家数周的时间和昂贵的成本,但现在只需几百美元,短短4小时计算任务即可达成目标。这种转变导致了网络攻击能力供应曲线的巨大变化。
这种现象类似于精确制导武器的扩散:当成本下降时,使用者数量随之增加,进而改变了整个安全领域的格局。
三、AI的速度挑战人类防御
攻击端门槛降低的同时也增加了防御方的压力。调查显示,在企业环境中修复关键漏洞平均需要超过60天的时间。然而,一旦漏洞被披露,AI可以在几个小时内开发出有效攻击手段。
这种情况下,“时间窗口”已经从数周缩短到了几乎为零。那些仍然将补丁更新视为季度维护任务的企业,其安全模型已然过时。
更加令人担忧的是,AI擅长发现人类难以察觉和修补的深层次漏洞,并可能在系统中潜伏多年而未被发觉。一旦这些隐藏的隐患被挖掘并利用,后果不堪设想。
同一位研究人员还使用基于Claude的方法,在多种代码库中识别出了500多个高危漏洞。这种技术具有普适性并且会迅速扩散到各个领域。国家行为者、犯罪集团和独立研究者都会开发类似流程。问题在于此类能力的普及速度有多快。
对此,组织需要采取措施将AI融入其防御体系中,包括利用AI进行持续的安全审计,并部署能够实时监控攻击企图的系统,以缩短从漏洞披露到补丁部署的时间周期。
监管框架也需要相应调整。现有的合规机制假设安全可以通过检查清单和定期审核来实现,但并未考虑随着基础模型不断改进所带来的威胁增加。为应对人类速度的攻击而制定的安全法规已不足以抵御AI带来的挑战。
四、完全自主化漏洞利用可能引发新的网络超级战争
在这个新时代里,人类依赖经验和周期构建防线,而AI则依靠计算能力和速度发起进攻。当“发现到利用”的完整过程被彻底自动化后,安全将不再是一个可以缓慢加固的过程,而是变成了一场持续的竞速比赛。
FreeBSD的安全漏洞只是一个例子,它表明了人工智能能够自主生成过去只有国家级项目才能实现的攻击能力。这标志着AI在网络安全领域的应用达到了新的高度。
面对即将到来的一年内,所有主流操作系统供应商、云服务提供商以及关键基础设施运营商都需要考虑是否已经将AI技术融入其安全防护体系之中,还是继续以人类的速度应对机器速度带来的威胁。