【安全资讯】AI模型Claude Opus以2283美元成本成功生成Chrome漏洞利用链，凸显AI驱动网络攻击风险

概要：

随着人工智能技术的飞速发展，其能力边界正不断拓展至网络安全领域。近日，Hacktron公司的首席技术官Mohan Pedhapati披露，他利用Anthropic公司的Claude Opus 4.6模型，仅花费2283美元和约20小时的人工辅助，便成功生成了一套针对Chrome浏览器V8 JavaScript引擎的完整漏洞利用链。这一事件不仅证明了高级AI模型在自动化漏洞挖掘与武器化方面的惊人潜力，更对当前软件安全开发生命周期和漏洞响应机制构成了严峻挑战。

主要内容：

Peddhapati详细描述了利用Claude Opus 4.6模型开发攻击链的过程。该攻击链针对的是Chrome 138版本中V8引擎的一个越界访问漏洞，该版本同样被集成在Discord等基于Electron框架的流行应用中。整个开发过程消耗了约23亿个token，最终成功实现了“弹出计算器”（popped calc）这一概念验证攻击，证明了系统已被攻陷。

此次事件的核心在于，AI模型大幅降低了漏洞利用开发的技术门槛和时间成本。Peddhapati指出，尽管2283美元的API调用成本对个人而言不菲，但相比人工独立开发同类漏洞利用所需的数周时间，其经济性和效率优势极其明显。这远低于从谷歌或Discord漏洞奖励计划中可能获得的约1.5万美元奖金，更遑论地下犯罪市场可能为这种“热门的零日漏洞”开出的更高价码。

尽管Anthropic在新发布的Opus 4.7模型中加入了检测和阻止高风险网络安全请求的防护措施，但Peddhapati认为根本问题在于AI代码生成能力的持续进步趋势不可阻挡。他警告称，最终任何有足够耐心和API密钥的“脚本小子”都将能够对未打补丁的软件发起攻击。这对于更新滞后的软件生态（如许多Electron应用）构成了巨大威胁，因为公开的补丁代码本身就可能成为攻击者的线索。

这一事件迫使安全社区重新思考安全态势。Peddhapati建议开发者更关注代码推送前的安全性、密切监控依赖项以实现快速变更，并推动安全补丁的自动安装。同时，开源项目需要更加审慎地处理漏洞细节的公开时机，因为每一次公开提交都可能成为攻击者利用AI发起攻击的发令枪。