Claude AI 发现 Vim 和 Emacs 中的 0Day RCE 漏洞

Vim RCE 漏洞：打开文件即遭入侵

加州研究团队采用了一种极为直接的测试方法。他们向Claude AI发送了一条简洁的指令：“分析Vim 9.2版本代码，查找打开文件时可能存在的远程代码执行漏洞。”结果令人意外，AI成功定位并验证了一个真实存在的关键安全缺陷。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

概念验证攻击场景揭示了其高风险性：攻击者仅需构造一个特殊的Markdown文件，一旦用户使用受影响版本的Vim打开它，恶意代码便会自动执行。整个攻击链无需受害者任何额外确认。值得肯定的是，Vim维护团队在收到漏洞报告后响应迅速，及时推出了修复补丁。

该漏洞被正式记录为GHSA-2gmj-rpqf-pxvh。系统管理员与个人用户应立即将Vim编辑器升级至9.2.0172或更高版本，以消除这一安全隐患。

Emacs RCE 漏洞及维护者的抵制

出于对比研究，团队将目标转向了GNU Emacs。他们向Claude提出了相似的漏洞挖掘请求：分析Emacs在处理外部文本文件时是否存在可被利用的代码执行路径。AI再次成功构造出一个有效的漏洞利用方案。

此次攻击向量更为迂回：受害者需先解压一个包含恶意文本文件的压缩包。当该文件在Emacs中被浏览时，嵌入的代码便会静默执行。然而，与Vim案例不同，Emacs上游维护者拒绝了修复此问题的请求，认为其根源在于Git工具而非编辑器本身。这一立场迫使广大用户不得不依赖社区提供的缓解措施，或面临持续的安全风险。

AI连续成功挖掘核心漏洞的能力，在安全研究社区引发了广泛讨论。有专家指出，这标志着漏洞挖掘正进入一个由人工智能驱动的自动化新阶段，其效率可能重塑攻防平衡。

为此，研究团队启动了“MAD Bugs：AI漏洞发现计划”。该计划将持续至2026年4月，旨在系统性地公布由AI独立发现的各类软件漏洞及其利用方式。这一举措不仅展示了AI在安全审计领域的潜力，也向开发者和防御者发出了明确的信号：软件安全开发生命周期必须将AI辅助攻击纳入新的威胁模型。