文章总结： 作者利用AI统计Chrome2025年漏洞，发现直接爬取日志因格式和分页问题导致数据偏差。改用搜索引擎API并交叉验证后锁定9个在野利用漏洞。文章借此反思了大模型在复杂任务中的局限性及工具选择的重要性。 综合评分： 76 文章分类： 威胁情报,AI安全,安全工具

到底什么最重要？

原创

heige

黑哥虾撩

2026年1月6日 21:06 湖南

这两天想统计下Chrome的2025年的在野利用漏洞情况，我首先想到的是通过https://chromereleases.googleblog.com/2025/01/ 去爬取，于是我让AiPy帮我去完成这个任务，写个个简单任务提示词：

https://chromereleases.googleblog.com/2025/01/ 这个是google chrome的升级log URL按月份生成对应的link，我需要你冲2025年01月到2025年12月的所有漏洞信息统计，注意你要通过语义理解去阅读页面内容，而不是通过正则等规则匹配，包括漏洞对应的CVE编号、报告者、报告日期、漏洞基本信息、是否存在在野利用等进行全面统计，结果按CVE编号去重保存到表单文件里，一定要注意要全面 如果访问错误请务必访问成功

测试了下跑出了106个漏洞，然后7个在野漏洞，但是最大的问题是没办法确定，于是我让AiPy随机抽查了几个月份：

你帮我随机抽查下8月 6月的漏洞 是否对得上数据

结果提示漏掉好几个，然后我让他全部查一下在野漏洞的的情况，发现之前结果也有一些出入，后面分析后发现，主要是有一些数据的格式不统一导致的：

[$2000][384844003] Medium CVE-2025-0762:[N/A][460017370] High CVE-2025-13223[TBD][405143032] High CVE-2025-2783

而大模型处理数据习惯性的使用正则匹配，然后比如在野利用的描叙也有各种各有，比如：“in the wild” 、“in wild”等等，当然虽然在任务提示词里有要求 用“语义”理解，实际上大模型是直接无视的。于是我写了一个很长的“Skills” 并加上了一些例子说明，最后的效果看起来还不错，但是始终没办法确定数据是不是准确，抽查发现尤其在野数据老是不对，当然我也尝试了用ChatGPT来帮我执行这个任务，不过搞笑的是ChatGPT写了个脚本让我在本地跑 … (本地跑那不直接AiPy啊！)

要命的是，最后我发现了一个问题：本身访问 https://chromereleases.googleblog.com/2025/01/ 这个页面的数据是不全的，里面有分页（相当于你爬取https://chromereleases.googleblog.com/2025/01/ 这个一月的数据，有一些一月公告的数据显示在下一页里）

这实际上从根本上否定了这个方法，于是我想着换一个思路：直接用搜索引擎的API来搜索

google api搜索chromereleases.googleblog.com上 2025年的标记在野利用的漏洞及相关信息

最后输出9个在野利用

那么这个结果准确不，于是我交叉了下GhatGPT的搜索结果，输出也是9个，对比了下

https://docs.google.com/spreadsheets/d/1lkNJ0uQwbeC1ZTRrxdtuPLCIl7mlUreoKfSIgajnSyY/view?gid=897725844

 Google P0 0day “In the Wild” 项目的数据 基本上对的上，只是在这个项目了有2个漏洞标注是webkit，这个其实也影响Chrome

所以问题来了：到底什么是最重要？MCP/Skills? 工具？产品？结果？认知？那么现阶段的用户到底是谁？LLM到底取代了什么？

在纠结那么多问题之前，先纠结下：你能正常访问 https://chromereleases.googleblog.com 这个网站吗？

对了 我上面用的模型是GLM-4.7

新年水一篇，要不然老是有人问我：这个公众号买不买 …

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑哥虾撩 heige《到底什么最重要？》