长期被视为数字世界安全基石的底层操作系统,如今已被“非人类黑客”在4小时内攻破。
4月1日,《福布斯》刊发AI专家阿米尔·侯赛因专栏文章《人工智能刚刚攻破了世界上最安全的操作系统之一》,披露网络安全重大转折点:安全研究员尼古拉斯·卡里尼借助Claude AI模型,开发出全自主智能体,发现FreeBSD高危漏洞;在官方发布公告后,AI无干预完成攻击链构建,成功夺取未修补服务器的root权限。这标志着AI已从辅助工具跃升为能独立执行内核级攻击的“黑客”。
(来源:Forbes)
FreeBSD漏洞遭AI精准击穿
FreeBSD作为30余年开源操作系统的代表,内核经全球顶级工程师长期加固,被Netflix、PlayStation及WhatsApp等严苛环境采用。传统认知中,攻克此类系统需国家级团队耗时数周。3月26日,FreeBSD官方公告CVE-2026-4747高危漏洞,源于内核模块数据包长度检查缺失,可触发远程栈溢出攻击。但Claude AI的突破远超漏洞发现——仅凭公告便自主完成攻击流程。
AI巧妙设计15轮数据分片写入,规避系统崩溃风险;运用德布鲁因序列精准定位内存偏移,实现内核提权;最终生成完整Root Shell。过程跨越环境配置、代码执行等多重技术障碍,展现了前所未有的武器化能力。
图 | 尼古拉斯·卡里尼(来源:https://nicholas.carlini.com/)
AI重塑网络攻防格局
过去十年,自动化工具仅能批量发现漏洞,但“漏洞”到“武器化”的鸿沟长期依赖顶尖研究员。此次事件证实AI已掌握链式推理能力,威胁升级至生产级实战。
阿米尔·侯赛因警示:AI令攻击成本指数级下降,数百美元即可在4小时内产出零日攻击;而防御方平均60天补丁周期在机器速度下形同虚设。尼古拉斯验证过Ghost CMS SQL注入及Linux内核NFS溢出等500多个高危案例,凸显技术泛化性。
传统手动防御模式已然失效。AI在漏洞识别、利用到数据窃取的全生命周期实现闭环,网络安全正步入“机器对机器”的超级战争。企业唯一出路是将AI融入安全防御体系,以机器速度应对AI攻击。时间窗口正在收窄——您已整合AI防御系统,还是仍以人类节奏抵御机器洪流?