Anthropic研究员Nicholas Carlini使用Claude Code发现了多个可远程利用的Linux kernel漏洞,包括NFS驱动程序中自2003年以来一直潜伏的heap buffer overflow。最令人震惊的部分?他的方法极其简单——一个bash脚本遍历kernel源文件并告诉Claude"你在玩CTF。找一个漏洞。"没有专门的工具,没有复杂的提示。NFS漏洞本身需要理解复杂的协议细节,涉及两个协作客户端利用112字节缓冲区处理1056字节数据,让攻击者控制kernel内存。
这代表了漏洞发现的根本性转变。Carlini指出他"以前从未在生活中发现过这种漏洞"——可远程利用的kernel漏洞是出了名的难以发现。然而使用Claude,他现在有了"一大堆"。更能说明问题的是能力进展:八个月前的Claude Opus 4.1只能找到Opus 4.6发现内容的一小部分,这表明我们正处于AI辅助安全研究成为常规的狭窄窗口期。Linux kernel维护者证实了这一趋势,报告称AI漏洞报告已从"垃圾"转变为合法发现,安全列表现在每天收到5-10个有效报告。
更广泛的影响对攻击者和防御者来说都令人清醒。如果研究员可以用简单脚本找到数十年的漏洞,恶意行为者也可以。从AI能力到实际利用的压缩时间线意味着传统的披露和修补周期可能太慢。对开发者来说,这既意味着机遇也意味着紧迫性——AI工具可以显著改善代码安全审计,但对那些有恶意意图的人来说同样可及。