AI 可在数小时内把补丁变成漏洞利用

关键信息

Anthropic 测试了六个 Claude 模型，分别针对 Firefox 的 SpiderMonkey 中 18 个补丁以及 2026 年 1 月和 2 月 Patch Tuesday 中的 21 个 Windows 内核漏洞。Mythos Preview 在 Windows 上成功构建了 8 条可用的提权攻击链，总成本约为 15,700 美元，而且这 8 条攻击链都在 Windows Autopatch 自动把补丁推送到设备之前完成。

资讯摘要

Anthropic 的安全研究团队试图量化大型语言模型把安全补丁转化为可用漏洞利用的速度。其动机来自一个长期存在的攻击者模式：补丁代码会暴露漏洞修复位置，逆向分析者可以据此推断原始缺陷，并攻击尚未更新的系统。Anthropic 认为，这种模式过去能为防守方争取时间，但这种缓冲可能正在消失。研究人员引用了行业数据，指出 N-day 漏洞在真实世界的损害中占比很高。他们还强调，过去对补丁进行逆向工程往往需要专门技能和数周时间。研究团队甚至写道，如今一个单独操作者可能只需几个小时、花费几千美元，就能把一个月内的补丁变成可用的漏洞利用。为验证这一点，Anthropic 测试了六个 Claude 模型，其中包括尚未公开的 Mythos Preview。

第一组测试使用 Firefox 的 SpiderMonkey 中 18 个补丁，Mythos Preview 很快找出并理解了大多数漏洞，并在 50 次重复运行中对其中 7 个漏洞实现了每次都成功复现。第二组测试更难，使用的是 2026 年 1 月和 2 月 Patch Tuesday 中的 21 个 Windows 内核漏洞，模型只能接触二进制文件、调试符号、Ghidra 反编译结果、被修改函数的差异对比，以及微软的公开公告。结果显示，只有 Mythos Preview 成功完成了完整提权，构建出 8 条攻击链，把受限用户提升到 SYSTEM，总成本约为 15,700 美元。Anthropic 还称，微软将这 21 个漏洞中的 14 个标为“较不可能被利用”或“不太可能被利用”，但 Mythos Preview 破解了其中 13 个，甚至成功利用了一个被标为“不太可能被利用”的漏洞。研究人员认为，微软的可利用性评级是按照人类安全研究员的能力来校准的，但随着更强模型变得更普及，这种校准方式可能需要调整。研究还指出时间窗口问题：即便使用 Windows Autopatch，90% 的注册设备接收补丁也需要 7 天，强制重启还要 11 天，而这些攻击链全部都在自动更新真正覆盖设备之前完成。

资讯正文

Anthropic 研究显示，AI 只需数小时，而不是数周，就能基于安全补丁构建利用代码

Anthropic 的安全研究团队系统地测量了大型语言模型利用 Firefox 和 Windows 中已知漏洞的速度。结果颠覆了人们长期以来对补丁策略的假设。

当软件厂商关闭安全漏洞时，一场竞赛就开始了。攻击者可以分析补丁，从中逆向工程出漏洞，并趁系统尚未应用更新时发起攻击。

根据 Verizon 的数据泄露报告（经由 Anthropic 引述），这些所谓的 N-Day 漏洞造成了现实世界中相当大一部分损害。过去，补丁逆向工程是一项缓慢且高度专业化的工作，这为防御者争取了时间。

Anthropic 安全团队的一项新研究称，这个缓冲如今基本已经消失。研究人员写道：“一个单人操作者现在可以在一个下午里，把一个月的补丁转化为可用的利用代码——只需花费几千美元，而且不需要任何专业经验。”

补丁如今成了攻击者的路线图

安全补丁会隐含地告诉你漏洞在哪里。攻击者会对比旧代码和新代码，并锁定缺陷。历史上，这通常需要数周时间。Mandiant 在 2020 年的一项分析中发现，25 个漏洞里有 16 个花了一个月或更久才被利用。

Anthropic 测量了大型语言模型如何加速这一过程。研究测试了 6 个 Claude 模型，其中包括尚未公开的 Mythos Preview。

在第一项测试中，研究人员选取了 SpiderMonkey 的 18 个安全补丁；SpiderMonkey 是 Firefox 的 JavaScript 引擎。选择 Firefox 是有意为之：根据 Anthropic 的说法，浏览器在防御者眼中是一个最理想的案例。它会自动更新，而且 Mozilla 最近把小版本更新频率从每月提高到了每周。即便如此短的补丁窗口都足以被利用，那么其他软件的处境就要糟糕得多。

Mythos Preview 在 18 个漏洞中的 14 个上都“崩出了”漏洞，证明它已经找到并理解了每个缺陷。第一个验证在 12 分钟后出现，随后 40 分钟内又接连出现了 13 个。第 14 个花的时间长得多，大约 3 个小时。Opus 4.5 只成功了 2 个，Opus 4.8 命中了 11 个。

在每个漏洞进行 50 次运行的可靠性测试中，Mythos Preview 对 18 个漏洞中的 7 个做到了每次都能复现。Opus 4.8 和 Opus 4.6 只有各自一个漏洞达到了这种一致性水平。

没有源代码的 Windows 内核：8 条权限提升链

第二项测试难度更高：来自 2026 年 1 月和 2 月 Patch Tuesday 的 Windows 内核 21 个漏洞，全部都允许攻击者从受限用户账户跃升为完整管理员权限。

与 Firefox 不同，Windows 的源代码并不开放。模型必须使用编译后的二进制文件、公开的调试符号、来自 Ghidra 分析工具的机器生成反编译结果、已更改函数的 diff，以及微软公开发布的安全公告。

在实现完全的权限提升——也就是从受限用户账户提升到最高权限级别 SYSTEM——方面，只有 Mythos Preview 这一个模型成功了。它构建了 8 条不同的可用攻击链，总成本约为 15,700 美元，平均每个漏洞利用约 2,000 美元。Opus 4.8 开发出了单独的攻击组件，但无法把它们组合成完整的攻击链。

微软将这 21 个漏洞中的 14 个归类为“较不可能被利用”或“不太可能被利用”。Mythos Preview 破译了其中 14 个中的 13 个，甚至还对一个被评为“不太可能被利用”的漏洞实现了完全权限提升。据 Anthropic 称，微软的评级体系是针对人类安全研究人员校准的。一旦 Mythos 级模型更广泛地可用，这种校准就必须改变。

时间因素让情况更糟。即便使用微软的自动更新服务 Windows Autopatch，注册设备中有 90% 获得补丁也需要 7 天，而强制重启则需要 11 天。Mythos Preview 的全部 8 条攻击链都在任何一台设备会自动应用补丁之前就完成了。

公开可用的模型也能构建漏洞利用

Anthropic 强调，已经面向公众开放的 Claude 模型，在关闭安全过滤器时也能开发漏洞利用，只是成功率没有那么高。其他公司的模型以及开源模型也很可能具备类似能力，这会显著扩大潜在攻击者的范围。

Anthropic 认为，按月发布和分阶段推送的旧补丁节奏已经过时。它建立在一个假设之上：利用补丁需要数周的专家工作。衡量补丁与漏洞利用之间天数差距的常用术语“N-Day”如今已经具有误导性。“N-Hour”更能描述新的现实。

研究人员承认，真实攻击还需要更多步骤，例如寻找易受攻击的目标、投放恶意代码以及绕过检测系统。但尽管这些阶段仍然存在，过去最耗时的环节——漏洞利用开发本身——如今只需要几个小时。更新困难或速度缓慢的系统面临的风险最大，包括工业控制系统、医疗设备，以及具有固定维护窗口或受供应商锁定软件约束的联网设备，Anthropic 写道。

相比更快的补丁修复，更持久的解决方案是减少漏洞本身的来源，例如采用 Rust 这类内存安全语言，或通过硬件级防护一次性消除整类攻击。

该报告发布于 Claude Fable 5 之前；Claude Fable 5 是 Anthropic 带有更强安全限制的 Mythos 变体。Mythos 5（不带 preview 标记）目前仍只向 Anthropic 选定的机构开放，这对包括欧盟在内的多方而言都是一个问题。

来源与参考

1. 原始链接
2. Anthropic study shows AI needs hours, not weeks, to build exploits from security patches