一个27年前的OpenBSD漏洞,被AI从数百万行代码里挖了出来。这不是科幻——Anthropic的Mythos Preview已经做到了。更麻烦的是,它还能把多个漏洞串成完整攻击链,比如浏览器沙箱逃逸。如果AI能玩转内存漏洞,那它发现Web后台的2FA逻辑缺陷,也只是时间问题。

2025年上半年的安全数据显示,约三分之一的被利用漏洞在公开披露当天或之前就已遭攻击。这个"披露即利用"的窗口,正从几周压缩到几小时。AI驱动的漏洞发现工具正在批量生产高质量成果,而防御方还在按周为单位打补丁。

打开网易新闻 查看精彩图片

开源管理后台成了最软的柿子。维护团队通常只有一两个人,安全是兼职;用户拖延更新,旧版本长期存活;各种自托管分支和本地补丁与上游渐行渐远;认证和2FA流程往往是手搓的,没人仔细审计。一旦AI发现某个2FA绕过逻辑,数千个实例可能在披露后很久仍暴露在外。

打开网易新闻 查看精彩图片

设想一条完整的攻击链:AI先找到跨站请求伪造(CSRF)漏洞,串联授权绕过,再触发2FA竞态或逻辑缺陷,最终完全控制后台。这套组合拳不需要社会工程,不需要钓鱼邮件,纯粹靠代码分析就能完成。

2FA不再是"锦上添花"的安全选项,而是AI级别的重点攻击目标。开发者的假设必须改变:你的认证代码正在被具备推理能力的模型逐行审视。传统的"等CVE再修"模式,在这种速度差面前已经失效。

打开网易新闻 查看精彩图片

防御需要转向纵深设计。认证流程要经得起自动化逻辑分析,CI/CD流水线需要嵌入AI辅助的漏洞扫描,甚至LLM参与的工作流本身也要被监控。零日漏洞的狩猎权正在向攻击方倾斜,开源社区的安全债到了必须偿还的时候。