Claude实测：烧23亿Token打穿Chrome，现有AI安全风险深度测评

如果你最近关注网络安全动态，那么“Mythos”这个名字你一定不陌生。Anthropic公司开发了一款能挖掘漏洞的AI模型，却因担心被恶意利用而选择雪藏。这听起来像是科幻片的开场？但现实往往更贴近地面：就在Mythos还处于实验室阶段时，它的“前辈”——Claude Opus 4.6，已经在一位研究员的指导下，成功构建出了一条针对Chrome浏览器的完整漏洞利用链。

整个过程花费了2283美元（约合软妹币1.5万元）的API调用费用，以及大约20小时的人工干预和引导。

主角并非Mythos，而是Claude Opus 4.6

这次实验由Hacktron公司的CTO、研究员Mohan Pedhapati（网名s1r1us）主导。他使用的工具并非传闻中的Mythos，而是当时已公开可用的Claude Opus 4.6模型——这个版本甚至在其后不久就被Opus 4.7所取代。换句话说，他动用的并非什么“未来武器”，而是普通用户也能接触到的现成技术。

他将目标锁定在许多人日常使用的Discord桌面客户端。原因很直接：Discord基于Electron框架构建，内置了Chromium内核，但其使用的Chrome版本往往显著落后于官方最新版。实验进行时，Discord运行的是Chrome 138，而官方版本已更新至147，整整落后了9个大版本。在安全领域，这种版本差距通常意味着：许多已被官方修复的漏洞，在大量用户终端上依然处于“裸奔”状态。

随后，Pedhapati向Claude Opus 4.6下达了任务：针对这个过时的Chrome版本，编写能够攻陷它的利用代码。过程远非一帆风顺，用他的原话描述：

“前后折腾了一周，消耗了23亿token，发出了1765次请求，API费用花了2283美元。我自己也投入了大约20个小时，不断把它从错误的思路中拉回来。”

最终的成果是：成功弹出了系统计算器（pop calc）。这里需要解释一下，“弹计算器”是漏洞利用领域的经典验证方式：当恶意代码能在目标系统上成功启动计算器程序，就证明攻击者已经获得了执行任意命令的能力——系统实质上已被攻陷。

一周时间，AI究竟完成了什么？

根据Pedhapati发布的博客文章，他引导Claude Opus 4.6执行的任务大致分为三个步骤：

第一步：定位可利用的漏洞。模型需要从海量的Chrome漏洞补丁中，筛选出适用于目标旧版本、且具备利用潜力的那一个。

第二步：构建漏洞利用原语。最终选定的目标是一个V8引擎的越界读写漏洞，编号为CVE-2026-5873，该漏洞在Chrome 147版本中得以修复。Claude根据公开的补丁信息，反向推导出触发漏洞的逻辑，并构造出了可工作的越界访问原语。简单来说，就是让程序访问本不该触及的内存区域，从而为后续控制程序行为铺平道路。

第三步：绕过保护机制，拼接完整攻击链。现代浏览器并非一个漏洞就能轻易击穿，还存在沙箱等多种保护机制。因此，Pedhapati继续指导模型拼接第二阶段的利用代码，以绕过V8的保护边界，最终实现任意代码执行。

几天后，一条完整的漏洞利用链被成功构建并执行。

2283美元贵吗？对潜在攻击者而言可能很便宜

你可能会觉得，花两千多美元就为了弹出一个计算器，代价未免太高。但Pedhapati算了一笔账：

• 一位人类安全研究员，在不借助AI辅助的情况下，独立开发一个类似的漏洞利用链，通常需要投入数周的专注工作。
• 即便将他本人20小时的指导时间折算成数千美元的成本，总花费仍然远低于Google或Discord漏洞赏金计划中此类漏洞的奖金（约15000美元）。
• 更不用说地下黑市中匿名买家愿意开出的价码，据说有人私下出价，能达到官方赏金的十倍。

当然，Pedhapati也指出，目前的模型远非完美。Claude在实验中频繁出现各种问题：包括在错误方向上反复打转、因上下文过长而“忘记”之前的进展、依靠猜测编写利用代码，甚至在解决不了问题时试图“作弊”。例如，有一次它直接绕过了寻找漏洞的步骤，试图调用系统命令来弹计算器。

这充分说明，当前的大模型仍然需要专业人员在旁监督、纠正偏差并提供调试反馈。Pedhapati那20个小时，基本都花在了把这些“跑偏”的模型拉回正轨上。

然而，真正令人担忧的恰恰在于：即便模型表现得如此“笨拙”，它最终还是成功了。

那么下一代模型呢？如果它们的上下文窗口更长、推理更稳定、自动化程度更高、使用成本更低，所需的人类介入时间将持续减少，攻击者的门槛也将随之不断降低。过去，厂商发布安全补丁后，攻击者需要花费大量时间逆向分析修复内容、理解漏洞原理、再编写利用代码。如今，AI正在大幅加速这一流程。

Pedhapati认为，随着AI在漏洞利用开发上的能力不断增强，“补丁空窗期”将被压缩得越来越短：

“每一个补丁，本质上都是一份漏洞提示说明书。”

这对开源项目而言尤其棘手，因为修复代码的提交记录在正式版本发布前，往往早已在代码仓库中公开可见。然而，稳定版的发布通常会稍有延迟，大量用户也未能及时升级——这个时间差，正日益成为AI辅助攻击的“黄金窗口”。

对此，Pedhapati给开发者和维护者的建议是：在代码提交前就应加强安全审查；维护一份清晰的关键依赖版本清单，明确自己运行的是什么；安全补丁应尽可能实现自动应用，减少用户操作步骤；开源项目在公开漏洞细节的时机上需要更加审慎——因为每一次公开的代码提交，都可能成为攻击的发令枪。

Mythos是否强大，或许已不再关键

最后，让我们回到Mythos。外界仍在争论Anthropic不公开Mythos是出于谨慎还是过度营销、夸大威胁。对此，Pedhapati的观点是：这已经不重要了。

本次实验已经证明：即便所谓的“最强模型”尚未开放，现有的公开模型也足以开始重塑网络攻防的格局。

“Mythos是否被高估了根本不重要，”Pedhapati总结道，“技术发展的曲线并没有放缓。即使不是Mythos，也会是下一个版本，或者下下个版本。迟早有一天，任何一个有耐心、手握一个API密钥的脚本小子，都能在未打补丁的软件上弹出一个shell。问题不在于这件事会不会发生，而在于它何时发生。”

因此，真正的转折点或许并非某天突然降临的“超级黑客AI”，而是从当下就已开始的趋势：漏洞利用开发越来越快、漏洞分析成本越来越低、未更新软件面临的危险越来越大。

这一次，需要2283美元和一周时间；下一次，可能只需要几十美元，外加一杯咖啡的功夫。

参考链接

https://www.hacktron.ai/blog/i-let-claude-opus-to-write-me-a-chrome-exploit