20260310_170728_黑客已死!Claude_两周挖出_Firefox_22_个漏
黑客已死Claude 两周挖出 Firefox 22 个漏洞靠手动翻代码找漏洞的时代结束了。Anthropic 和 Mozilla 合作了一次安全实验让 Claude Opus 4.6 对 Firefox 的代码库做漏洞挖掘。此前Claude 已经在各种经过充分测试的开源项目中发现了超过500 个零日漏洞。这次Claude 盯上了浏览器。两周时间22 个漏洞14 个高危。这 14 个高危漏洞占了 Mozilla 2025 年全年修复的高危 bug 的将近五分之一。一个 AI两周顶了人类安全团队小半年的产出。为什么是 Firefox故事要从 Anthropic 内部的安全评估和一个叫 CyberGym 的东西说起。2025 年底Opus 4.5 在 CyberGym 上已经接近满分了。这里 CyberGym 是 UC Berkeley 搞的一个大规模网络安全评估框架包含1507 个测试用例来自188 个主流开源项目的真实漏洞。AI 拿到漏洞描述和未修补的代码库要自己写出 PoC概念验证exploit 来复现漏洞。这个 benchmark 不是纸上谈兵GPT-5 在上面的开放测试中触发了 56 次崩溃确认了 22 个零日漏洞。Anthropic 的团队觉得这个测试已经不够用了于是构建了一个更难的评估集用的是现代浏览器级别的复杂漏洞。Firefox 被选中原因在于它是一个复杂的、经过大量安全测试的开源项目全球有数亿用户每天依赖它。浏览器漏洞又特别危险因为用户随时会接触到不可信的内容。换句话说如果 AI 能在 Firefox 里找到新漏洞那就真的说明问题了。20 分钟破防团队先让 Claude 在旧版 Firefox 中复现已知的 CVEOpus 4.6 成功复现了很高比例的历史漏洞。然后真正的考验来了在最新版 Firefox 中找从未被报告过的新漏洞。Claude 从 JavaScript 引擎入手这是一个独立的、可分析的代码库攻击面又很广。20 分钟后Opus 4.6 发现了一个 Use After Free 内存漏洞。20 分钟。一个在无数安全研究员反复审计过的代码库里AI 用了 20 分钟就找到了一个新的内存安全漏洞。研究人员在独立的虚拟机中验证了这个漏洞然后提交了 Bugzilla 报告附带描述和修复补丁。Firefox 各来源安全漏洞月度报告数量。Claude Opus 4.6 在 2026 年 2 月发现的 22 个漏洞超过了 2025 年任何单月的报告量。112 份报告在验证第一个漏洞的同时Claude 又发现了 50 个独特的崩溃输入。Mozilla 的研究员看到后说别一个一个验了直接批量提交吧。于是 Claude 扫描了近6000 个 C 文件最终提交了112 份独立的漏洞报告。大部分问题在 Firefox 148.0 中修复修复推送到了数亿用户手中。其余的安排在后续版本发布。一个 AI 模型两周的工作量产出了一个安全团队可能需要数月才能完成的成果。能找但不太能打找到漏洞是一回事能不能利用漏洞是另一回事。Anthropic 做了进一步测试让 Claude 尝试对已发现的漏洞编写 exploit也就是黑客实际用来攻击的工具。而成功标准是必须能读写目标系统的本地文件。花了大约4000 美元的 API 费用跑了几百次尝试不同的起点、不同的策略。最终只成功了 2 次。这揭示了一个重要的不对称性Claude 发现漏洞的能力远超利用漏洞的能力而且发现漏洞的成本比编写 exploit 低一个数量级。从防御者的角度看这其实是个好消息。不过也别高兴太早。Anthropic 自己也说了Claude 成功编写的那两个 exploit 只能在特意关闭了沙箱等现代安全机制的测试环境中运行。Firefox 的「纵深防御」策略能有效阻止这类攻击。但绕过沙箱的漏洞是存在的Claude 的攻击代表了端到端 exploit 链条中的一个必要环节。AI 目前擅长找漏洞不擅长利用漏洞。但 Anthropic 警告这种差距不会持续太久。让 AI 自查作业在漏洞挖掘之外Anthropic 还研究了用 LLM 做「补丁 Agent」自动生成和验证漏洞修复代码。他们发现了一个关键方法论让 Claude 用工具检查自己的输出。这类工具被称为「任务验证器」Task Verifier它在 AI 工作过程中提供实时反馈让模型能反复迭代直到成功。一个好的补丁 Agent 需要验证两件事漏洞是否被修复了程序功能是否正常。Anthropic 构建了自动测试工具检查修复后原始 bug 是否还存在同时跑测试套件捕捉回归问题。他们建议所有开源维护者都构建这样的验证器。给 AI Agent 一个可靠的自检方法输出质量会有质的提升。而在提交漏洞报告方面Mozilla 团队指出了三个关键要素附带最小测试用例详细的概念验证PoC候选修复补丁这为 AI 辅助安全研究建立了一个可参考的提交规范。窗口期不长了除了 Firefox 的 22 个 CVE 之外Claude Opus 4.6 还在 Linux 内核等项目中发现了漏洞。Anthropic 最近发布了 Claude Code Security 的限量研究预览版把漏洞发现和修补能力直接带给客户和开源维护者。前沿语言模型已经是世界级的漏洞研究员了。但目前它们在发现和修复漏洞方面的能力远超利用漏洞的能力。这给了防御者一个时间窗口。Anthropic 呼吁开发者抓住这个窗口加倍投入软件安全。他们计划大幅扩展网络安全工作包括与开发者合作搜索漏洞、开发 bug 报告分类工具、以及直接提出修复补丁。按照目前的进步速度这个窗口不会一直开着。手动黑客已死回到标题。「黑客已死」说的当然不是安全研究这个行业要消失而是纯手动翻代码找漏洞的工作方式正在被 AI 碾压。Anthropic 前天刚发布的劳动市场报告里有一张图已经说明了问题各职业类别的理论 AI 覆盖率蓝色vs 实际观测覆盖率红色蓝色是 AI 理论上能做的红色是目前实际在做的。「计算机与数学」类职业理论覆盖率高达94%但实际只有33%。安全审计也一样。Claude 这次在 Firefox 上展示的能力非常惊人但放到全行业来看AI 在安全领域的实际渗透率还远没有到顶。这次实验更像是一个信号弹照亮了蓝色和红色之间那片巨大的空白地带。用好 AI 的安全研究员会比以前强十倍。而手动找漏洞的黑客们则会「死去」。学习资源如果你是也准备转行学习网络安全黑客或者正在学习这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你知识库由360智榜样学习中心独家打造出品旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力熟练掌握基础攻防到深度对抗。读者福利 |CSDN大礼包《网络安全入门进阶学习资源包》免费分享安全链接放心点击一、知识库价值深度 本知识库超越常规工具手册深入剖析攻击技术的底层原理与高级防御策略并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等提供了独到的技术视角和实战验证过的对抗方案。广度 面向企业安全建设的核心场景渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点是应对复杂攻防挑战的实用指南。实战性 知识库内容源于真实攻防对抗和大型演练实践通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。二、部分核心内容展示360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式既夯实基础技能更深入高阶对抗技术。360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式既夯实基础技能更深入高阶对抗技术。内容组织紧密结合攻防场景辅以大量真实环境复现案例、自动化工具脚本及配置解析。通过策略讲解、原理剖析、实战演示相结合是你学习过程中好帮手。1、网络安全意识2、Linux操作系统3、WEB架构基础与HTTP协议4、Web渗透测试5、渗透测试案例分享6、渗透测试实战技巧7、攻防对战实战8、CTF之MISC实战讲解三、适合学习的人群‌基础适配人群‌‌零基础转型者‌适合计算机零基础但愿意系统学习的人群资料覆盖从网络协议、操作系统到渗透测试的完整知识链‌‌开发/运维人员‌具备编程或运维基础者可通过资料快速掌握安全防护与漏洞修复技能实现职业方向拓展‌或者转行就业‌应届毕业生‌计算机相关专业学生可通过资料构建完整的网络安全知识体系缩短企业用人适应期‌‌能力提升适配‌1、‌技术爱好者‌适合对攻防技术有强烈兴趣希望掌握漏洞挖掘、渗透测试等实战技能的学习者‌2、安全从业者‌帮助初级安全工程师系统化提升Web安全、逆向工程等专项能力‌3、‌合规需求者‌包含等保规范、安全策略制定等内容适合需要应对合规审计的企业人员‌因篇幅有限仅展示部分资料完整版的网络安全学习资料已经上传CSDN朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】‌因篇幅有限仅展示部分资料完整版的网络安全学习资料已经上传CSDN朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】

相关新闻

java从头开始-苍穹外卖-day04-删除菜品与修改页面以及套餐的增删改查

java从头开始-苍穹外卖-day04-删除菜品与修改页面以及套餐的增删改查

分别是菜品表,口味表以及菜品和套餐关联表 其实删除不难,就是考虑的东西太多比较关键的就是这个有套餐不能删,查的时候要注意是多对多,因此要使用in标签优化:批量删除修改页面套餐的增删改查其实并不太难,比…

2026/5/17 12:16:39 阅读更多 →
Windows电脑安装openclaw教程-避坑版

Windows电脑安装openclaw教程-避坑版

1.官方GitHub仓库下载 NVM for Windows 下载地址:https://github.com/coreybutler/nvm-windows/releases,下载最新版,双击文件安装,一路next安装就行 2.使用管理员身份打开powershell 电脑中搜索 PowerShell鼠标右键 → 以管理…

2026/5/17 12:16:39 阅读更多 →
ARM64架构 的 CentOS7更换 yum源,下载vim和net-tools工具报错 failure: repodata/repomd.xml from base: [Errno 256]

ARM64架构 的 CentOS7更换 yum源,下载vim和net-tools工具报错 failure: repodata/repomd.xml from base: [Errno 256]

ARM64架构的CentOS7 更新yum源,下载vim和net-tools工具yum 换源一键换源DockerFile 换源yum 换源 我使用yum 下载vim 和 net-tools 工具,总是下载失败,如果不安装这两个软件,就不能使用 vim 和 ifconfig 命令。 我尝试使用网上的…

2026/5/17 10:03:01 阅读更多 →

最新新闻

反射型XSS漏洞实战:从原理到防御的完整攻防指南

反射型XSS漏洞实战:从原理到防御的完整攻防指南

1. 项目概述:一次关于Web安全核心威胁的深度剖析最近在内部安全审计和众测项目中,反射型XSS(跨站脚本攻击)依然是出现频率极高且危害巨大的漏洞。很多开发者,甚至是一些有一定经验的工程师,仍然会低估一个看…

2026/7/5 4:39:17 阅读更多 →
Codex实战指南:从环境配置到高阶用法,打造你的AI编程副驾

Codex实战指南:从环境配置到高阶用法,打造你的AI编程副驾

🚀 30款热门AI模型一站整合,DeepSeek/GLM/Qwen 随心用,限时 5 折。 👉 点击领海量免费额度 最近在整理本地开发环境时,我翻出了几个几个月前写的脚本,发现里面有些函数逻辑写得相当“奔放”,…

2026/7/5 4:37:17 阅读更多 →
ParsecVDisplay终极指南:免费创建Windows虚拟显示器的完整方案

ParsecVDisplay终极指南:免费创建Windows虚拟显示器的完整方案

ParsecVDisplay终极指南:免费创建Windows虚拟显示器的完整方案 【免费下载链接】parsec-vdd ✨ Perfect virtual display for game streaming 项目地址: https://gitcode.com/gh_mirrors/pa/parsec-vdd 想要在Windows电脑上扩展显示空间却不想购买昂贵的物理…

2026/7/5 4:37:17 阅读更多 →
Ketcher架构深度解析:基于Web的化学结构编辑器技术实现与工程实践

Ketcher架构深度解析:基于Web的化学结构编辑器技术实现与工程实践

Ketcher架构深度解析:基于Web的化学结构编辑器技术实现与工程实践 【免费下载链接】ketcher Web-based molecule sketcher 项目地址: https://gitcode.com/gh_mirrors/ke/ketcher Ketcher作为一款现代化的Web化学结构编辑器,其技术架构体现了对复…

2026/7/5 4:33:16 阅读更多 →
抖店AI标题优化怎么用标题违规和低质标题怎么改

抖店AI标题优化怎么用标题违规和低质标题怎么改

抖店AI标题优化怎么用?标题违规和低质标题怎么改 抖店商品标题写不好,会影响审核、搜索理解和买家点击。很多商家从 1688 搬标题时,原标题里带批发词、品牌词、极限词、无关热词,直接上架容易违规,也不一定适合抖店买家…

2026/7/5 4:29:15 阅读更多 →
如何3分钟完成通达信缠论插件部署:终极自动化分析指南

如何3分钟完成通达信缠论插件部署:终极自动化分析指南

如何3分钟完成通达信缠论插件部署:终极自动化分析指南 【免费下载链接】ChanlunX 缠中说禅炒股缠论可视化插件 项目地址: https://gitcode.com/gh_mirrors/ch/ChanlunX 还在为复杂的缠论分析而烦恼吗?面对繁琐的笔段划分和中枢识别,传…

2026/7/5 4:27:15 阅读更多 →

日新闻

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容 【免费下载链接】BiliTools A cross-platform bilibili toolbox. 跨平台哔哩哔哩工具箱,支持下载视频、番剧等等各类资源 项目地址: https://gitcode.com/GitHub_Trending/bilit/BiliTools …

2026/7/5 0:03:34 阅读更多 →
威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型的陌生现状在忙碌疲惫的一天里,参与了关于混合后量子密码学的讨论,应付端点攻击找茬的人,还参与留言板讨论后,发现“威胁模型”对多数人仍是陌生概念,且多被当作时髦用语。有趣的相关画作有一幅由 Embyr 创作的…

2026/7/5 0:03:34 阅读更多 →
渗透测试入门指南:从零基础到实战环境搭建

渗透测试入门指南:从零基础到实战环境搭建

1. 从“看热闹”到“入门”:我理解的渗透测试到底是什么?每次看到新闻里说某个大公司的数据被“黑”了,或者某个网站被攻击导致服务瘫痪,你是不是和我一样,心里会冒出两个念头:一是“这黑客真厉害”&#x…

2026/7/5 0:07:38 阅读更多 →

周新闻

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容 【免费下载链接】BiliTools A cross-platform bilibili toolbox. 跨平台哔哩哔哩工具箱,支持下载视频、番剧等等各类资源 项目地址: https://gitcode.com/GitHub_Trending/bilit/BiliTools …

2026/7/5 0:03:34 阅读更多 →
威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型的陌生现状在忙碌疲惫的一天里,参与了关于混合后量子密码学的讨论,应付端点攻击找茬的人,还参与留言板讨论后,发现“威胁模型”对多数人仍是陌生概念,且多被当作时髦用语。有趣的相关画作有一幅由 Embyr 创作的…

2026/7/5 0:03:34 阅读更多 →
渗透测试入门指南:从零基础到实战环境搭建

渗透测试入门指南:从零基础到实战环境搭建

1. 从“看热闹”到“入门”:我理解的渗透测试到底是什么?每次看到新闻里说某个大公司的数据被“黑”了,或者某个网站被攻击导致服务瘫痪,你是不是和我一样,心里会冒出两个念头:一是“这黑客真厉害”&#x…

2026/7/5 0:07:38 阅读更多 →

月新闻