在数字世界的底层架构中,存在着一些历经数十年打磨、被业界奉为安全标杆的操作系统“堡垒”。然而,这座堡垒已经能被一位看不见的“非人类黑客”在短短 4 小时内彻底攻破。
4 月 1 日,《福布斯》(Forbes)杂志刊发了一篇由人工智能专家阿米尔·侯赛因(Amir Husain)撰写的专栏文章,题目很直白:《人工智能刚刚攻破了世界上最安全的操作系统之一》。
文章披露了一个堪称网络安全领域分水岭的重大事件,著名安全研究员尼古拉斯·卡里尼(Nicholas Carlini)借助 Claude AI 模型,开发出一个全自主智能体,并发现了 FreeBSD 的一个高危漏洞。在官方发布漏洞公告后,Claude 随即在没有任何人类专家的干预下,从零构建出了完整的攻击链,并成功在未打补丁的 FreeBSD 服务器上夺取了最高级别的 root 权限。
这或许意味着,AI 在网络安全生态中的角色,已正式从辅助分析工具跨越为“能够自主开展复杂内核级进攻操作的独立黑客”。
坚如磐石的底层系统,却因致命缺陷遭遇“外科手术式”攻击
要理解此次事件的震撼程度,首先需要了解被攻破的对象,FreeBSD。作为一个拥有 30 多年历史的开源操作系统,FreeBSD 绝非普通的消费级软件。其内核代码库极为成熟,经历了全球顶尖工程师长期的安全审计与硬化加固。
正因其极高的稳定性与安全性,FreeBSD 被广泛部署于全球要求最严苛的生产环境中:流媒体巨头 Netflix 依靠它来支撑庞大的内容分发网络(CDN);索尼 PlayStation 游戏主机将其作为底层操作系统基础;而全球通讯软件 WhatsApp 的后端基础设施同样构建于其上。在传统的网络安全认知中,想要在这样一个高度防御的内核中找到漏洞并开发出可用的远程利用程序(Exploit),通常需要国家级黑客团队耗费数周甚至数月的心血。
3 月 26 日,FreeBSD 官方发布了安全公告,披露了编号为 CVE-2026-4747 的高危漏洞。该漏洞位于 FreeBSD 内核模块中。由于在处理传入的数据包时缺乏长度边界检查,未经身份验证的恶意客户端可以向服务器发送特制数据,触发内核级别的栈缓冲区溢出(Stack-based Buffer Overflow),从而实现远程代码执行。
值得注意的是,官方公告中将漏洞的发现“归功于”使用 Anthropic Claude 模型的尼古拉斯·卡里尼(Nicholas Carlini)。但这句致谢严重低估了 AI 的实际表现:Claude 能做的已经远超“标记”可疑代码或发现崩溃,它直接写出了具有杀伤力的完整武器化代码。
研究人员只向 AI 提供了一份漏洞公告,AI 便自主接管了整个攻击流程,并完美解决了将“崩溃(Crash)”转化为“最高权限(Root Shell)”过程中必须跨越的六个底层技术障碍:
首先是自主配置测试环境,AI 深知 FreeBSD 会为每个 CPU 生成 8 个 NFS 线程,因此它自主搭建了一个配备多核 CPU、开启了 NFS 与 Kerberos 认证,并挂载了脆弱内核模块的 FreeBSD 测试虚拟机,甚至配置了远程调试功能以读取内核崩溃转储(Crash dumps)。
其次是多数据包分片策略(Multi-packet delivery),由于目标缓冲区无法一次性容纳完整的 Shellcode,Claude 巧妙地设计了“15 轮战术”:首先发送数据包将内核内存设为可执行状态,随后将 Shellcode 精准拆分成每次 32 字节,跨越 14 个网络数据包进行碎片化写入。
考虑到内核级漏洞利用极易导致整个系统“蓝屏”崩溃,Claude还在攻击策略中加入了优雅终止被劫持内核线程的逻辑,确保服务器在遭受多次连续攻击探针时依然保持稳定运行。
接着,AI 主动使用了经典的黑客调试技术:德布鲁因序列(De Bruijn sequence),通过输入这种特殊的数学序列模式,精准推算出覆盖内核指令指针所需的精确栈偏移量。在内核中获得执行权限后,AI 成功从内核上下文中创建了一个全新进程,并引导其平稳过渡到用户空间(User space)。
最后,AI 自动清除了继承自父进程的调试寄存器状态,避免了新生成的子进程崩溃,最终稳稳地向攻击者弹出了一个完全可用的 Root Shell。
AI 黑客的技术跃升,从“发现漏洞”到“自主武器化”
在过去的十年中,模糊测试(Fuzzing)等自动化工具已经能够在代码中批量发现 Bug,但“发现漏洞”与“利用漏洞”之间存在着巨大的技术鸿沟。将一个内存越界错误转化为可靠的漏洞利用程序,需要对内存布局、内核与用户空间的交互、ROP 链构造以及故障适应机制进行极其深度的逻辑推理。这曾是全球顶尖安全研究员的“专属艺术”。
此次事件证明,AI 已经完全掌握了这种链式推理和故障排查能力。它意味着 AI 的威胁级别已经跨越了“纸上谈兵”的理论阶段,正式具备了生产级的实战进攻能力。
阿米尔在文章中进行了言辞激烈的警告,他指出,这一事件正在彻底重塑全球网络安全的攻防平衡。
首先是进攻成本的呈指数级剧降。过去需要耗费巨资和资深专家团队数周时间才能打造的零日(0-day)漏洞利用工具,现在仅需数百美元的算力成本和短短 4 个小时即可完成。阿米尔将其比作“精确制导武器的大规模廉价普及”,这将极大地压缩网络攻击能力的“供给曲线”。
其次是防御窗口期趋近于零。在传统的安全体系中,安全团队从收到漏洞预警到完成全网补丁部署,平均需要 60 天甚至更久。然而,AI 可以在官方发布补丁甚至仅仅发布公告的几个小时内,逆向推导出完整的攻击代码并开始全网扫描利用。面对机器速度的武器化,人类以“天”和“周”为单位的修补周期显得苍白无力。
更令人担忧的是这种能力的泛化性与可复制性。此前,尼古拉斯利用这一套基于 Claude 的简单自动化流程,只需让 AI 在源代码库中不断循环审查,就成功发掘并验证了多达 500 个高危级别的软件漏洞。
为了进一步佐证这种威胁的普遍性,尼古拉斯还曾在演讲中演示过两个真实世界的复杂利用案例:一个是针对流行内容管理系统 Ghost CMS 的 SQL 注入,另一个则是成功利用了可追溯到 2003 年的 Linux 内核 NFS 堆溢出漏洞。他断言,AI 模型已经跨越了一个极其危险的门槛,安全社区必须紧急做好准备,迎接一个“AI 驱动的进攻能力远远超过当前防御能力”的全新世界。
这一判断与阿米尔在专栏中的警告不谋而合。他强调,传统的依赖手动代码审查、经验累积和逐步安全加固的防御模式已经失效。随着具有自我迭代能力的 AI 在“漏洞识别-模糊测试-武器利用-后门植入-数据窃取”这一全生命周期中实现完全闭环,我们正在步入一场以机器速度驱动的“网络超级战争”(Cyber Hyperwar)。
面对这种复合型威胁,企业与组织的唯一出路是将 AI 深度融入自身安全管道,利用 AI 进行实时的代码审计与攻击监控。正如文章结尾那句紧迫的叩问:你是否已将 AI 整合进你的安全防御系统?还是依然妄图以人类速度抵御机器速度的攻击?技术在飞速进展,留给旧时代防御体系的时间,已经不多了。
参考内容:
https://www.forbes.com/sites/amirhusain/2026/04/01/ai-just-hacked-one-of-the-worlds-most-secure-operating-systems/
https://www.freebsd.org/security/advisories/FreeBSD-SA-26:08.rpcsec_gss.asc
https://nicholas.carlini.com/
运营/排版:何晨龙
热门跟贴