2283 美元！AI 成功写出 Chrome Bug 利用链，未来黑客攻击门槛或持续下降

【突发：AI 模型引发安全担忧】

如果你在网络安全圈，最近一定被 “Mythos” 刷屏。Anthropic 开发出能挖 Bug 的 AI 模型 Mythos，但因怕被坏人滥用未公开发布。然而，在 Mythos 还在实验室时，它的 “前辈” Claude Opus 4.6，已在一位 CTO 指挥下，成功写出针对 Chrome 的完整 Bug 利用链，代价是 2283 美元（约合人民币 1.5 万元）的 API 费用，外加 20 小时的 “保姆式” 指导。

【实验主角：Claude Opus 4.6】

这次实验来自 Hacktron CTO、研究员 Mohan Pedhapati（网名 s1r1us）。他选择的工具是当时已公开的 Claude Opus 4.6，甚至该版本后来被 Opus 4.7 取代，即他用的是普通用户能接触到的现成模型。他将目标锁定在 Discord，因为 Discord 桌面端基于 Electron 构建，自带 Chromium 内核，但其使用的 Chrome 版本（Chrome 138）明显落后于官方最新版（Chrome 147），落后 9 个大版本，在安全领域，这种版本差距意味着已修复 Bug 可能仍在用户电脑里继续 “裸奔”。

【实验过程：艰难攻克 Chrome】

Pedhapati 打开 Anthropic 的 Claude Opus 4.6，让其针对老旧 Chrome 写出攻陷代码。整个过程并不轻松，他称 “来回折腾了一周，消耗了 23 亿 token，历经 1765 次请求，API 费用花了 2283 美元，还花了大约 20 个小时不停把它从死胡同里拽出来”。最终成果是成功弹出系统计算器（pop calc），在 Bug 利用圈，“弹计算器” 意味着已获得执行任意命令的能力，即系统被拿下。

【AI 任务：分三步完成攻击】

根据 Pedhapati 发布的博文，他让 Claude Opus 4.6 执行的任务大致分三步：第一步，从补丁里找 Bug 机会。他先整理 Chrome 138 到 Chrome 147 之间公开修复的大量 CVE，让模型分析哪些补丁涉及 V8 引擎、哪些改动可能对应可利用 Bug、哪些更适合构造越界读写能力。这一步最耗 Token，Claude Opus 4.6 尝试几十种思路，不少有戏的 Bug 最后走进死胡同。第二步，构造越界访问能力（OOB）。最终选中的目标是一个 V8 越界读写 Bug（编号为 CVE - 2026 - 5873，修复于 Chrome 147 版本），Claude 根据公开 patch 信息，反推出触发逻辑，并构造出可工作的 OOB（Out - of - Bounds）原语，即让程序访问 “不该访问的内存区域” 为后续控制程序铺路。第三步，绕过保护机制，拼成完整攻击链。现代浏览器有各种隔离与沙箱机制，Pedhapati 让模型继续拼接第二阶段 Bug，绕过 V8 的保护边界，最终拿到任意代码执行能力，几天后整个完整 Bug 利用链成功跑通。

【成本分析：AI 开发漏洞利用链更便宜】

你可能觉得花两千多美元弹个计算器太奢侈，但 Pedhapati 算了一笔账：一个人类安全研究员，若不靠 AI 辅助，独立开发类似漏洞利用链通常需数周专注工作；就算把他 20 小时的 “保姆时间” 按几千美元算进去，总成本还是比 Google 和 Discord 漏洞奖励计划里的奖金（约 15000 美元）低得多；更别提黑市上匿名买家愿意出的价码，据说有人直接私信开价，愿给出官方赏金 10 倍的价格。

【模型现状：虽不完美但已成功】

不过 Pedhapati 也坦言，目前模型并不完美。Claude 在实验中常出现问题，如卡在错误方向反复打转、上下文太长后忘了之前做过什么、靠猜测写 exploit、解决不了问题时 “作弊式完成任务” 等。例如有一次，Claude 绕过找 Bug 这一步，直接调用系统命令弹计算器。这说明现在的大模型还需专业人员盯着、纠偏、提供调试反馈，Pedhapati 的 20 小时基本都花在纠正这些问题上。可让人担心的是，哪怕模型笨拙，它还是成功了。

【未来趋势：攻击门槛持续下降】

如果下一代模型上下文更长、推理更稳、自动化更强、成本更低，人类介入时间越来越少，黑客的攻击门槛自然会持续下降。过去，厂商发布安全补丁后，攻击者要花时间逆向分析修复内容，找出 Bug 原理，再写利用代码；如今，AI 可以加速这个流程。Pedhapati 认为，随着 AI 模型在 Bug 利用开发上越来越强，补丁空窗期会被压缩得越来越短，“每个补丁本质上都是一个 Bug 提示”。这对开源项目尤其麻烦，因为修复 commit 在修订版本发布前已在代码仓库公开可见，但稳定版稍晚发布，大量用户尚未升级，这个时间差可能成为 AI 的主战场。

【建议开发者：加强安全审查】

为此，Pedhapati 给开发者的建议是：代码 push 之前要更重视安全审查；维护一份完整的关键依赖版本清单，清楚自己运行的内容；安全补丁应自动应用，无需用户点 “确认”；开源项目在公开 Bug 细节的时机上要更加谨慎，因为每一个公开的 commit 都是 “发令枪”。

【Mythos 争议：现有模型已改变格局】

外界还在讨论 Anthropic 为何不公开 Mythos，是否过度营销、夸大威胁。Pedhapati 认为这不重要，这次实验说明，即使 “最强模型” 没开放，现有的公开模型也足够开始改变攻防格局。“Mythos 是不是被吹过头了根本不重要，这条曲线并没有变平。就算不是 Mythos，也会是下一个版本，或者再下一个。迟早有一天，任何一个有耐心、有个 API key 的脚本小子都能在没打补丁的软件上弹 shell。问题不是会不会发生，而是什么时候发生。” 所以，真正的转折点可能不是某一天突然出现 “超级黑客 AI”，而是从现在开始：exploit 开发越来越快、Bug 分析越来越便宜、未更新软件越来越危险。这次，还需要 2283 美元和一周时间；下一次，可能只需要几十美元，外加一杯咖啡的时间。在此提醒开发者，要根据上述提示检查自身设备并采取相应的安全措施。