最近有一项实验引发关注:一位CTO花费大约1.5万元人民币的API费用,并使用大量Token,让Claude在一周内攻破了Chrome浏览器的安全防护。
近来,“Mythos”一词频繁出现在网络安全圈。Anthropic研发了一款能够挖掘漏洞的AI模型,但由于担心被恶意利用而未予发布。
听起来像是科幻电影的情节?实际上,现实可能更为贴近:当“Mythos”还在实验室阶段时,它的前身Claude Opus 4.6已经在一名CTO的操作下成功创建了一套针对Chrome的完整漏洞利用链。
这项实验的成本包括约23亿个Token和两周时间的人工指导。
实验中的主角并非“Mythos”,而是更早版本的Claude Opus 4.6。
此次试验由Hacktron CTO Mohan Pedhapati(网名s1r1us)发起。他选择了当时已公开可用的Claude Opus 4.6,而非传说中的Mythos。
这表明,实验中使用的并非未来的高级武器,而是任何用户都能接触到的标准模型。
试验的目标是Discord桌面版,该软件基于Electron框架开发,并使用了较旧版本的Chromium内核。
当时,Discord运行的是Chrome 138版本,而官方最新版为Chrome 147。这种差异在安全领域通常意味着已修复的安全问题可能仍然存在于用户的设备中。
接下来,Pedhapati启动了Anthropic的Claude Opus 4.6,并赋予它一个任务:针对这个过时版本的Chrome编写攻击代码。但这一过程并不顺利,正如他自己所描述的:
“经过一周的努力,消耗了23亿个Token和1765次请求后,API费用共计2283美元,我花了大约20个小时不断从困境中解救它。”
实验结果是成功弹出了计算器应用。在安全测试圈子里,“弹出计算器”意味着已经获得了执行任意命令的能力。
在一周的时间里,AI做了哪些工作?
根据Pedhapati发布的文章内容,这项任务被分解为三个阶段:
(一)寻找漏洞机会
首先整理出Chrome 138到147之间修复的所有CVE,并让模型分析可能存在的漏洞。
具体包括哪些补丁涉及V8引擎,哪些改动可能导致可利用的漏洞等。
这一步需要大量的Token消耗,因为很多尝试都会失败。Claude Opus 4.6试用了多种策略,但许多看似有希望的路径最终都未能成功。
(二)构造越界访问能力
最终选定的目标是V8引擎的一个越界读写漏洞。该漏洞编号为CVE-2026-5873,并已在Chrome 147中修复。Claude根据公开的补丁信息反推出了触发逻辑,并构建了可执行的OOB(Out-of-Bounds)原语。
简而言之,就是让程序访问它不应触及的内存区域,为后续控制打下基础。
(三)绕过安全防护机制
当前浏览器由于存在隔离和沙箱等保护措施,并非仅仅依靠一个越界漏洞就能轻易被攻破。因此Pedhapati继续让模型进行组合以构建完整的攻击链,最终获得任意代码执行的能力。
几天后,整个利用链终于成功运行。
花费的两千多美元是否高昂?
你可能会觉得花费如此金额只为弹出计算器有些奢侈。然而Pedhapati计算了成本:
如果一名安全研究员不借助AI帮助独立完成类似的工作,通常需要几周的时间;
将他投入的“保姆时间”按几千美元计算后,总费用仍然低于Google和Discord漏洞奖励计划中的奖金(约15000美元)。
更不用提黑市上匿名买家愿意支付的价格了,据说有人直接提出要给官方赏金十倍的金额。
不过Pedhapati也指出,当前模型仍不够完善。Claude在实验中多次出现问题,包括反复陷入错误的方向、忘记之前的工作内容以及猜测性地编写漏洞利用代码等。例如有一次它绕过了查找漏洞的过程直接调用系统命令弹出了计算器。
这表明现在的大型语言模型仍然需要专业人员来监督和纠正其错误,并提供调试反馈。
更让人担忧的是,即便如此笨拙的模型也能取得成功。
对于下一代更强大的模型而言,随着上下文理解能力和推理能力增强、自动化程度提高以及成本降低,人类介入的时间会越来越少,黑客攻击门槛也会随之持续下降。过去厂商发布安全补丁后需花时间逆向分析修复内容才能开发出漏洞利用代码;如今AI可以加速这一流程。
Pedhapati认为,随着AI模型在漏洞利用方面越来越强大,补丁生效前的窗口期会逐渐缩短:“每个补丁本质上都是一个漏洞提示。”
此外对于开源项目而言尤其不利,因为修复提交通常会在稳定版本发布之前公开可见,而大量用户尚未进行升级。这段时间差可能成为AI的主要攻击目标。
因此他建议开发者要重视代码推送前的安全审查;维护一份完整的关键依赖版本清单以确保安全补丁能够自动应用无需用户确认;同时在开源项目中谨慎处理Bug细节的公开时机——因为每一次公开提交都可能被利用。
Mythos是否强大其实并不重要
最后,关于Mythos是否存在过度炒作的问题。外界对此争论不休,但Pedhapati认为这并不关键。
这项实验已经表明:即使“最强模型”尚未开放使用,现有的公开模型也足够开始改变攻防格局。“是否夸大了威胁并不重要,因为这条曲线没有变平。”
无论是Mythos还是未来的其他版本,最终的结果都是任何一个有耐心并且拥有API密钥的黑客都可以在未打补丁的软件上执行恶意代码。
因此真正的转折点可能并不是某一天出现了“超级黑客AI”,而是从现在开始:漏洞利用变得越来越快、Bug分析成本不断降低以及越来越多没有及时更新的设备成为攻击目标。
本次实验中需要大约一周的时间和2300美元,而未来或许只需要几十美元加上一杯咖啡的时间。
“Mythos 是不是被吹过头了根本不重要,”Pedhapati 说,“这条曲线并没有变平。就算不是 Mythos,也会是下一个版本,或者再下一个。迟早有一天,任何一个有耐心、有个 API key 的脚本小子都能在没打补丁的软件上弹 shell。问题不是会不会发生,而是什么时候发生。”
所以,真正的转折点,可能不是某一天突然出现“超级黑客 AI”,而是从现在开始:exploit 开发越来越快、Bug 分析越来越便宜、未更新软件越来越危险。
这次,还需要 2283 美元和一周时间;下一次,可能只需要几十美元,外加一杯咖啡的时间。