在數(shù)字世界的底層架構(gòu)中，存在著一些歷經(jīng)數(shù)十年打磨、被業(yè)界奉為安全標(biāo)桿的操作系統(tǒng)“堡壘”。然而，這座堡壘已經(jīng)能被一位看不見的“非人類黑客”在短短 4 小時(shí)內(nèi)徹底攻破。

4 月 1 日，《福布斯》（Forbes）雜志刊發(fā)了一篇由人工智能專家阿米爾·侯賽因（Amir Husain）撰寫的專欄文章，題目很直白：《人工智能剛剛攻破了世界上最安全的操作系統(tǒng)之一》。

（來源：Forbes）

文章披露了一個(gè)堪稱網(wǎng)絡(luò)安全領(lǐng)域分水嶺的重大事件，著名安全研究員尼古拉斯·卡里尼（Nicholas Carlini）借助 Claude AI 模型，開發(fā)出一個(gè)全自主智能體，并發(fā)現(xiàn)了 FreeBSD 的一個(gè)高危漏洞。在官方發(fā)布漏洞公告后，Claude 隨即在沒有任何人類專家的干預(yù)下，從零構(gòu)建出了完整的攻擊鏈，并成功在未打補(bǔ)丁的 FreeBSD 服務(wù)器上奪取了最高級(jí)別的 root 權(quán)限。

這或許意味著，AI 在網(wǎng)絡(luò)安全生態(tài)中的角色，已正式從輔助分析工具跨越為“能夠自主開展復(fù)雜內(nèi)核級(jí)進(jìn)攻操作的獨(dú)立黑客”。

圖 | 尼古拉斯·卡里尼（Nicholas Carlini）（來源：https://nic）

堅(jiān)如磐石的底層系統(tǒng)，卻因致命缺陷遭遇“外科手術(shù)式”攻擊

要理解此次事件的震撼程度，首先需要了解被攻破的對(duì)象，F(xiàn)reeBSD。作為一個(gè)擁有 30 多年歷史的開源操作系統(tǒng)，F(xiàn)reeBSD 絕非普通的消費(fèi)級(jí)軟件。其內(nèi)核代碼庫極為成熟，經(jīng)歷了全球頂尖工程師長期的安全審計(jì)與硬化加固。

正因其極高的穩(wěn)定性與安全性，F(xiàn)reeBSD 被廣泛部署于全球要求最嚴(yán)苛的生產(chǎn)環(huán)境中：流媒體巨頭 Netflix 依靠它來支撐龐大的內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN）；索尼 PlayStation 游戲主機(jī)將其作為底層操作系統(tǒng)基礎(chǔ)；而全球通訊軟件 WhatsApp 的后端基礎(chǔ)設(shè)施同樣構(gòu)建于其上。在傳統(tǒng)的網(wǎng)絡(luò)安全認(rèn)知中，想要在這樣一個(gè)高度防御的內(nèi)核中找到漏洞并開發(fā)出可用的遠(yuǎn)程利用程序（Exploit），通常需要國家級(jí)黑客團(tuán)隊(duì)耗費(fèi)數(shù)周甚至數(shù)月的心血。

3 月 26 日，F(xiàn)reeBSD 官方發(fā)布了安全公告，披露了編號(hào)為 CVE-2026-4747 的高危漏洞。該漏洞位于 FreeBSD 內(nèi)核模塊中。由于在處理傳入的數(shù)據(jù)包時(shí)缺乏長度邊界檢查，未經(jīng)身份驗(yàn)證的惡意客戶端可以向服務(wù)器發(fā)送特制數(shù)據(jù)，觸發(fā)內(nèi)核級(jí)別的棧緩沖區(qū)溢出（Stack-based Buffer Overflow），從而實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

值得注意的是，官方公告中將漏洞的發(fā)現(xiàn)“歸功于”使用 Anthropic Claude 模型的尼古拉斯·卡里尼（Nicholas Carlini）。但這句致謝嚴(yán)重低估了 AI 的實(shí)際表現(xiàn)：Claude 能做的已經(jīng)遠(yuǎn)超“標(biāo)記”可疑代碼或發(fā)現(xiàn)崩潰，它直接寫出了具有殺傷力的完整武器化代碼。

（來源：https://www.freebsd.org/）

研究人員只向 AI 提供了一份漏洞公告，AI 便自主接管了整個(gè)攻擊流程，并完美解決了將“崩潰（Crash）”轉(zhuǎn)化為“最高權(quán)限（Root Shell）”過程中必須跨越的六個(gè)底層技術(shù)障礙：

首先是自主配置測(cè)試環(huán)境，AI 深知 FreeBSD 會(huì)為每個(gè) CPU 生成 8 個(gè) NFS 線程，因此它自主搭建了一個(gè)配備多核 CPU、開啟了 NFS 與 Kerberos 認(rèn)證，并掛載了脆弱內(nèi)核模塊的 FreeBSD 測(cè)試虛擬機(jī)，甚至配置了遠(yuǎn)程調(diào)試功能以讀取內(nèi)核崩潰轉(zhuǎn)儲(chǔ)（Crash dumps）。

其次是多數(shù)據(jù)包分片策略（Multi-packet delivery），由于目標(biāo)緩沖區(qū)無法一次性容納完整的 Shellcode，Claude 巧妙地設(shè)計(jì)了“15 輪戰(zhàn)術(shù)”：首先發(fā)送數(shù)據(jù)包將內(nèi)核內(nèi)存設(shè)為可執(zhí)行狀態(tài)，隨后將 Shellcode 精準(zhǔn)拆分成每次 32 字節(jié)，跨越 14 個(gè)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行碎片化寫入。

考慮到內(nèi)核級(jí)漏洞利用極易導(dǎo)致整個(gè)系統(tǒng)“藍(lán)屏”崩潰，Claude還在攻擊策略中加入了優(yōu)雅終止被劫持內(nèi)核線程的邏輯，確保服務(wù)器在遭受多次連續(xù)攻擊探針時(shí)依然保持穩(wěn)定運(yùn)行。

接著，AI 主動(dòng)使用了經(jīng)典的黑客調(diào)試技術(shù)：德布魯因序列（De Bruijn sequence），通過輸入這種特殊的數(shù)學(xué)序列模式，精準(zhǔn)推算出覆蓋內(nèi)核指令指針?biāo)璧木_棧偏移量。在內(nèi)核中獲得執(zhí)行權(quán)限后，AI 成功從內(nèi)核上下文中創(chuàng)建了一個(gè)全新進(jìn)程，并引導(dǎo)其平穩(wěn)過渡到用戶空間（User space）。

最后，AI 自動(dòng)清除了繼承自父進(jìn)程的調(diào)試寄存器狀態(tài)，避免了新生成的子進(jìn)程崩潰，最終穩(wěn)穩(wěn)地向攻擊者彈出了一個(gè)完全可用的 Root Shell。

AI 黑客的技術(shù)躍升，從“發(fā)現(xiàn)漏洞”到“自主武器化”

在過去的十年中，模糊測(cè)試（Fuzzing）等自動(dòng)化工具已經(jīng)能夠在代碼中批量發(fā)現(xiàn) Bug，但“發(fā)現(xiàn)漏洞”與“利用漏洞”之間存在著巨大的技術(shù)鴻溝。將一個(gè)內(nèi)存越界錯(cuò)誤轉(zhuǎn)化為可靠的漏洞利用程序，需要對(duì)內(nèi)存布局、內(nèi)核與用戶空間的交互、ROP 鏈構(gòu)造以及故障適應(yīng)機(jī)制進(jìn)行極其深度的邏輯推理。這曾是全球頂尖安全研究員的“專屬藝術(shù)”。

此次事件證明，AI 已經(jīng)完全掌握了這種鏈?zhǔn)酵评砗凸收吓挪槟芰?。它意味?AI 的威脅級(jí)別已經(jīng)跨越了“紙上談兵”的理論階段，正式具備了生產(chǎn)級(jí)的實(shí)戰(zhàn)進(jìn)攻能力。

阿米爾在文章中進(jìn)行了言辭激烈的警告，他指出，這一事件正在徹底重塑全球網(wǎng)絡(luò)安全的攻防平衡。

首先是進(jìn)攻成本的呈指數(shù)級(jí)劇降。過去需要耗費(fèi)巨資和資深專家團(tuán)隊(duì)數(shù)周時(shí)間才能打造的零日（0-day）漏洞利用工具，現(xiàn)在僅需數(shù)百美元的算力成本和短短 4 個(gè)小時(shí)即可完成。阿米爾將其比作“精確制導(dǎo)武器的大規(guī)模廉價(jià)普及”，這將極大地壓縮網(wǎng)絡(luò)攻擊能力的“供給曲線”。

其次是防御窗口期趨近于零。在傳統(tǒng)的安全體系中，安全團(tuán)隊(duì)從收到漏洞預(yù)警到完成全網(wǎng)補(bǔ)丁部署，平均需要 60 天甚至更久。然而，AI 可以在官方發(fā)布補(bǔ)丁甚至僅僅發(fā)布公告的幾個(gè)小時(shí)內(nèi)，逆向推導(dǎo)出完整的攻擊代碼并開始全網(wǎng)掃描利用。面對(duì)機(jī)器速度的武器化，人類以“天”和“周”為單位的修補(bǔ)周期顯得蒼白無力。

更令人擔(dān)憂的是這種能力的泛化性與可復(fù)制性。此前，尼古拉斯利用這一套基于 Claude 的簡單自動(dòng)化流程，只需讓 AI 在源代碼庫中不斷循環(huán)審查，就成功發(fā)掘并驗(yàn)證了多達(dá) 500 個(gè)高危級(jí)別的軟件漏洞。

為了進(jìn)一步佐證這種威脅的普遍性，尼古拉斯還曾在演講中演示過兩個(gè)真實(shí)世界的復(fù)雜利用案例：一個(gè)是針對(duì)流行內(nèi)容管理系統(tǒng) Ghost CMS 的 SQL 注入，另一個(gè)則是成功利用了可追溯到 2003 年的 Linux 內(nèi)核 NFS 堆溢出漏洞。他斷言，AI 模型已經(jīng)跨越了一個(gè)極其危險(xiǎn)的門檻，安全社區(qū)必須緊急做好準(zhǔn)備，迎接一個(gè)“AI 驅(qū)動(dòng)的進(jìn)攻能力遠(yuǎn)遠(yuǎn)超過當(dāng)前防御能力”的全新世界。

這一判斷與阿米爾在專欄中的警告不謀而合。他強(qiáng)調(diào)，傳統(tǒng)的依賴手動(dòng)代碼審查、經(jīng)驗(yàn)累積和逐步安全加固的防御模式已經(jīng)失效。隨著具有自我迭代能力的 AI 在“漏洞識(shí)別-模糊測(cè)試-武器利用-后門植入-數(shù)據(jù)竊取”這一全生命周期中實(shí)現(xiàn)完全閉環(huán)，我們正在步入一場(chǎng)以機(jī)器速度驅(qū)動(dòng)的“網(wǎng)絡(luò)超級(jí)戰(zhàn)爭”（Cyber Hyperwar）。

面對(duì)這種復(fù)合型威脅，企業(yè)與組織的唯一出路是將 AI 深度融入自身安全管道，利用 AI 進(jìn)行實(shí)時(shí)的代碼審計(jì)與攻擊監(jiān)控。正如文章結(jié)尾那句緊迫的叩問：你是否已將 AI 整合進(jìn)你的安全防御系統(tǒng)？還是依然妄圖以人類速度抵御機(jī)器速度的攻擊？技術(shù)在飛速進(jìn)展，留給舊時(shí)代防御體系的時(shí)間，已經(jīng)不多了。

參考內(nèi)容：

https://www.forbes.com/sites/amirhusain/2026/04/01/ai-just-hacked-one-of-the-worlds-most-secure-operating-systems/

https://www.freebsd.org/security/advisories/FreeBSD-SA-26:08.rpcsec_gss.asc

https://nicholas.carlini.com/

運(yùn)營/排版：何晨龍