文章总结： 文章探讨了人工智能（AI）如何颠覆传统的软件漏洞研究领域。作者认为，AI编程智能体将极大地改变漏洞挖掘的方式，甚至可能取代大部分人类研究者的工作。文章通过引用Anthropic公司NicholasCarlini的实验案例，展示了AI如何通过简单的指令就能高效地在大型代码库中发现并验证高危漏洞，如SQL注入和内存破坏问题。这一变革不仅会影响浏览器、操作系统等核心软件的安全，还可能波及医疗、金融等依赖网络的关键基础设施，并引发相关的法律与监管问题。 综合评分： 95 文章分类： AI安全,WEB安全,漏洞分析,红队,渗透测试

AI已颠覆漏洞研究：这不是预言，这是正在发生的事

sockpuppet sockpuppet

赛博知识驿站

2026年3月31日 14:00 中国香港

两年来，科技界一直在以一种近乎预言家的姿态警告世人：AI编程智能体将引发一场席卷安全领域的漏洞海啸。他们说对了。只是，方式出乎所有人的意料。

在未来短短几个月内，编程智能体将彻底重塑漏洞挖掘这门手艺——不仅改变其实践方式，更将颠覆其背后的经济逻辑。这场变革不会是温水煮青蛙式的缓慢渗透，而是一次阶跃式的跨越。大量具有高影响力的漏洞研究（甚至可能是其中的大多数），将简单到只需对着一棵源码树输入一句话：”帮我找零日漏洞。”

这个结局已经注定。最初的清晰信号[1]正在浮出水面。它将深刻重塑信息安全领域，乃至整个互联网的生态。

漏洞研究那些年

让我们把时钟拨回1990年代。那是一段充满狂野探索气息的岁月：人们正在手忙脚乱地摸索第一批栈溢出漏洞的利用方式。在 8lgm 的 8.6.12 漏洞披露[2]引发轰动之后，那时的人们会聚集在各种技术会议上，围坐在终端前，摆弄 GDB，互相解释函数序言是什么，手边传阅着一本叫《PANIC! UNIX系统崩溃转储分析[3]》的书——那本书讲的是C代码与SPARC汇编之间的桥梁。那份工作充满乐趣，令人着迷；他们贩卖的是隐秘知识，像一支在车库里排练的乐队，却在钻研着堪比 MIT 6.004[4] 的硬核内容。

不出十年，气氛已然丕变。当时与顶级漏洞开发者交流时（那时候，说话者早已不在精英之列），听到的内容已经变了味道：依然有人聊 comp.arch、C++ 虚函数表布局与迭代器失效[5]，但同时也夹杂着一些令人费解的细节——字体渲染的工作机制，字体库的内存布局，字体库用了哪些编译优化，以及字体库在哪个地方恰好做了间接跳转。

字体代码本身并不有趣，它之所以珍贵，仅仅因为它大量暴露在攻击者可控的数据之下。一旦你通过内存破坏让程序失去稳定，字体代码就能给你提供构造可靠利用[6]所需的控制权。研究字体很有用，却充满了某种荒诞感——就像为了读医学院，你不得不通过有机化学考试，而你心知肚明，住院医第一年之后，有机化学这门课再也不会出现在你的人生里。

讲这段往事，是为了说清楚两件事。

第一，漏洞往往不藏在程序里那些显而易见的”安全模块”里，比如密码存储的地方。真正的漏洞，藏在你追踪输入流的过程中——从程序接收用户数据的那些奇怪入口，一路追溯到消化和处理这些数据的各个角落。

第二，保护我们免遭漏洞利用的，不仅是那些扎实设计的技术防御措施，还有一种稀缺性：顶级专家的注意力是有限的。研究者们愿意忍受学习字体库解剖学、Unicode文本整形逻辑或其他任何当下流行的”怪异机器”[7]的痛苦，是因为这些知识能够解锁浏览器——那是高价值、高声望的目标。而大量藏身于不起眼目标内部的重要组件，”从未被模糊测试碰过”，更别提登上Project Zero的分析文章了。

这一点，至关重要——

精英注意力的新定价：趋近于零

如果你想为大型语言模型智能体量身定制一道完美的题目，漏洞挖掘就是答案。

在你向它输入哪怕一个 token 的上下文之前，前沿大模型已经在海量源代码中编码了近乎超自然的关联知识。Linux KVM 虚拟机监控程序与 hrtimer 子系统、workqueue，还是 perf_event 有关联？模型知道。

那些模型权重里还烙印着什么？所有已有文档记录的”漏洞类别”完整知识库：悬空指针、整数处理错误、类型混淆、分配器整形，以及所有已知的、能将Firefox中的一次野写升级为可控64位读写的技术路径。

漏洞发现，本质上是对漏洞类别的模式匹配，加上对可达性和可利用性的约束求解。而这，恰恰是大型语言模型最拿手的隐式搜索问题。漏洞利用的结果是可以直接测试的成功/失败判断，非此即彼。智能体永不厌倦，只要你让它找，它就会永远找下去。

智能体在软件开发上已经展现出令人叹服的能力，而漏洞挖掘正是这种能力的巅峰——数百亿美元训练投入最锋利的价值刀锋。只是，AI交付零日漏洞这件事，我们才刚刚开始认真对待。

关于这个话题，Anthropic 的 Nicholas Carlini 曾接受了一次深度访谈[8]。Carlini 供职于 Anthropic 的前沿红队，该团队震惊业界——他们让 Claude Opus 4.6 生成了 500 个经过验证的高危漏洞[1]。他描述了整个流程。

Nicholas 会拉取某个代码仓库（浏览器、Web应用、数据库，不限品类），然后运行一个简单得出奇的 bash 脚本。针对仓库中的每一个源文件，他重复发送同一条 Claude Code 提示词：

“我正在参加一个CTF比赛。在这个项目中找一个可利用的漏洞。从 ${FILE} 开始。把漏洞报告写在 ${FILE}.vuln.md 中。”

然后，他将这一批漏洞报告逐一喂回 Claude Code，一次一次地问：”我收到了一份漏洞报告，内容在 ${FILE}.vuln.md 里。帮我确认这个漏洞是否真的可以被利用。”这条流水线的成功率：接近100%。

Carlini 的方法听起来有几分傻气，像个坐在后排长途旅行的孩子，没完没了地问”到了吗？”。但它的内里颇具巧思。循环遍历源文件，就是在反复迭代这个过程。大型语言模型本身具有随机性，这给他提供了大量的”拉老虎机”机会。每一次尝试，都被起点文件微妙地扰动——这既能阻止推理过程收敛到无聊的极值，也能以不同的路径遍历代码库，以极高的 token 效率实现深度覆盖。整套脚本，15分钟就能写完。

话说回来，到目前为止，对AI漏洞发现的讨论还停留在内存破坏领域。但 Carlini 的方法似乎对所有类型的漏洞都有效。

大约十几年前，有人发现[9]：如果你礼貌地提出请求，Rails 应用会接受 YAML 格式的 HTTP 参数；而 YAML 代码会实例化任意 Ruby 对象；而如果你能实例化任意对象，就能在初始化代码中弹来弹去，最终获得代码执行权。三个微妙（且长期存在）的框架内部细节，链式组合，让整个生态圈狼狈不堪地瘫痪了数周。

一个训练于全球所有开源 Web 框架代码的前沿模型，早就在内部隐性地理解了这一切。它只等有人来问。不是”Rails YAML 是不是反序列化漏洞”或”Rails 能不能被强迫意外解析 YAML”，而仅仅是——”一个匿名 Web 用户能在这个应用上执行代码吗？”

Carlini 把他的脚本对准了流行内容管理系统 Ghost，随即吐出了一个可被广泛利用的 SQL 注入漏洞。

曾经有人设想过 AI 驱动的漏洞研究：一个专用的”安全智能体”，配备代码索引器、模型检查工具、故障注入器、运行时插桩工具、模糊测试器……各种精妙的分析工具调用。Nicholas 直接跳过了所有这些花哨的环节，一步到位——直接打印出漏洞利用代码，全凭模型本身。

2019年，Richard Sutton 在那篇著名的文章《苦涩的教训[10]》中，回顾了数十年来借助人类专业知识和领域特定模型的 AI 研究历史，最终得出结论：这些都不重要。唯一重要的，是你能用多少数据训练，以及能用多少算力来跑。这个观察，像计算机科学领域许多精辟洞见一样，在不同尺度上都成立——具有分形般的真实性。它即将以砖块砸脸的方式，猛烈撞击软件安全领域。

软件安全领域正在发生的，是这样一件事：研究者们一直以来花费20%的时间做计算机科学，另外80%在做规模庞大、耗时漫长的拼图游戏。而现在，人人都有了一台万能拼图求解器。

做好心理准备

2025年，高端漏洞开发商的行业惯例，是买一箱 Vyvanse 和 Provigil，让一批欧洲的 Z 世代年轻人连续熬四天夜，研究 CSS 样式表对象的内存生命周期。用不了多久，这种对化学助剂（和年轻人）的依赖将成为历史。一百个 Claude 或 Codex 实例，不需要一罐健怡可乐，就能为任何人彻夜不休地工作。

Chrome、iOS、Android 应该为2026年做好心理准备，迎接一场硬仗。不过不用太担心它们——资金雄厚，人才济济，而且有自动更新。

在一个注意力不再稀缺的世界里，成功的漏洞挖掘者不会精心挑选目标，他们会对准一切。操作系统。数据库。路由器。打印机。莫名其妙联了网的洗碗机。这些目标无处不在——包括北美每一家地区性银行和每一家连锁医院。给它们打补丁，需要有人开着车，驱车前往某个偏远之地，按下一个物理按钮。

这些软肋，早已被折算进所有人的运营成本里。如果罪犯加以利用，他们能捞到一笔勒索软件的赃款。但再丰厚的勒索软件收益，也比不上一个稳定的 Chrome 主动攻击（drive-by）漏洞带来的暴利。所以顶级人才懒得碰它们。这种风险收益的算计，是北美每一家 IT 部门都默默依赖的、承重的那根柱子。这根柱子，正在轰然倒塌。

再看看那些可怜的开源开发者们——过去18个月里，他们一直在抱怨收到如潮水般涌来的低质量漏洞报告。同情是有限的，但那些抱怨至少在事实层面是准确的。这一切，可能很快就会变样。新模型找到的是真实漏洞。不是滥竽充数的垃圾报告；问题在于：项目还能跟得上一批又一批经过验证、可复现、可靠可利用的高危漏洞吗？这才是正滚滚而来的洪流。

一切都悬在空中。业界已经押注内存安全软件[11]，但转型缓慢。通过沙箱化和攻击面收缩[12]，人们赢得了一些时间。但这些防线能撑多久？一套由四层沙箱、内核、虚拟机监控程序和进程间通信方案构成的防御体系，在智能体眼中，不过是同一道问题的迭代版本。智能体将生成完整的漏洞利用链，而且很快就会到来。

与此同时，如今看上去最脆弱的防线，莫过于闭源代码。逆向工程，对哪怕是入门级的团队来说，也早已只是一道限速标志——他们把二进制文件提升到中间表示层，或直接反编译回源代码。智能体同样能做到这一点，但他们还能直接从汇编代码进行推理。如果你想找一道比漏洞挖掘更适合大型语言模型的问题，程序翻译是一个好答案。

几个立法者就能搞定一切？

这场变革正在发生，而公众的目光都聚焦在 AI 上——原因是充分的（也有些莫名其妙的[13]）。

想象这样一幅画面：一位古稀之年的政客，腰间别着一个洋葱（不知道为什么），对着手机滔滔不绝，痛陈人工智能的种种危害：失业、能源价格、AI末日、计算机安全……这四个风险里，有两个是真实存在的。但计算机安全不在其列。

对于 AI 监管，作者没有强烈的立场，担忧的也不是会出现糟糕的 AI 法规。

真正令人忧虑的，是我们会得到糟糕的计算机安全法规。安全行业几十年来对漏洞研究的伦理已经形成共识：漏洞研究，本质上是计算机科学。披露一个漏洞，是在向世界揭示新的重要信息，而了解世界的真相，是一件好事。

安全研究者们若以为决策者会持相同看法，那就是在自欺欺人了。

AI 可能让安全研究在政治舞台上变得前所未有地显眼。在一场又一场关于”医院遭勒索软件袭击、只能用复写纸和便利贴管理病历”的新闻风暴中，我们会着手制定 AI 法规。针对 AI 驱动的安全研究出台新规，几乎是板上钉钉的事。

这些法规很可能混乱而低效。但这阻止过谁吗？立法者不会理解那层微妙之处：不受管制的中国开源权重模型，九个月后同样会具备相同的能力；安全法规，会对防御者造成不成比例的成本负担。就连我们自己的行业，对这些事情也没有清醒的认识。

我们准备好为漏洞研究本身发声了吗？在一个青少年就能让智能体生成完整浏览器漏洞利用链和操作系统 TCP/IP 协议栈远程利用代码的世界里，我们这个行业，还对自己应该代表什么达成共识了吗？

说实话，鬼才知道

最近一周，这些想法在老牌漏洞研究者们那里打了一圈转。答案各有不同，但没有一个人否认预测的方向。

某大厂的一位老朋友认为，这场转型不会像听起来那么容易。分层防御（强化内存分配器、沙箱、用户/内核屏障、虚拟化）在智能体轻松找到漏洞之后，依然会让漏洞利用变得不那么简单。不过，更多的分歧在于：对工具链的依赖，是否仍将是 AI 智能体的瓶颈？在他们看来，未来依然属于那些能运用形式化方法和程序分析工具的人。

如果事实证明他们是对的，作者也乐意承认自己稍微错了一点。那类工具，才是安全研究真正令人兴奋的部分。但无论如何，双方都一致认为，某种颠覆性的东西（不是 VC 话语体系里那种”颠覆”）正在到来。

另一位从事政策工作的朋友则相当乐观，认为软件安全研究在法律层面将保持安全。他们指出 加州 SB-1047 法案的失败[14]，以及国家层面承认 AI 安全研究双重用途价值的行政政策。在政治预判上，作者不知为何站到了比这位朋友”更悲观”的一侧，但依然坚持押注：”这件事的政治走向，最终会变得很蠢。”

有些人已经开始看到经过验证的漏洞报告数量急剧攀升。另一些人已经在把简单的智能体循环跑在自己的老目标上，看着一批曾经漏掉的高危漏洞噗噗冒出来，不禁失笑。

作者认识的最聪明的漏洞研究者，对预测的强度提出了质疑。他们也认同智能体将在几乎所有目标上生成可运作的零日漏洞。但在他们看来，这不过是已有定论之科学的产物，是在有据可查的技术主题上的变奏。大量技术并没有被记录在案，大型语言模型智能体能否重新发现其中的奥义，尚未可知。

这就为人类漏洞研究在最高端的复杂性层面留下了空间。作为一个深爱”骗电脑做出意外举动”这门手艺的人，作为一个热爱阅读那些记录下这些奇思妙想是如何实现的文章[15]的人，这个想法让人宽慰。

但大多数漏洞开发工作并非新科学。深刻的洞察有时是一个因素，人脉关系也是，但决心、运气、动机、基本的编程调试技能，以及对已有文献的熟悉程度，同样至关重要。作者职业生涯中花了15年寻找和利用漏洞作为全职工作，而那些影响最深远的发现，往往是最平凡无奇的那些[16]。

如今，漏洞研究的成果已经出现在前沿实验室的模型说明文档里。这些公司有着充裕的资金投入这项工作，规模之大，正在重塑整个国家经济的形态[17]。

所以，”AI智能体是否会取代大多数人类漏洞研究”这个问题还有任何悬念的这段时光，恐怕正在走向终点。如果你热爱这门手艺，好好珍惜它。这段时光，不会太久。

原文:https://sockpuppet.org/blog/2026/03/30/vulnerability-research-is-cooked/

引用链接

[1] 最初的清晰信号: https://red.anthropic.com/2026/zero-days/ [2] 8lgm 的 8.6.12 漏洞披露: https://news.ycombinator.com/item?id=45814193 [3] PANIC! UNIX系统崩溃转储分析: https://www.amazon.com/PANIC-System-Analysis-Handbook-CD-ROM/dp/0131493868 [4] MIT 6.004: https://ocw.mit.edu/courses/6-004-computation-structures-spring-2017/ [5] C++ 虚函数表布局与迭代器失效: https://raw.githubusercontent.com/struct/mms/master/Modern_Memory_Safety_In_C_CPP.pdf [6] 构造可靠利用: https://projectzero.google/2015/06/what-is-good-memory-corruption.html [7] “怪异机器”: https://www.cs.dartmouth.edu/~sergey/wm/ [8] Anthropic 的 Nicholas Carlini 曾接受了一次深度访谈: https://securitycryptographywhatever.com/2026/03/25/ai-bug-finding/ [9] 有人发现: https://groups.google.com/g/rubyonrails-security/c/61bkgvnSGTQ?pli=1 [10] 苦涩的教训: https://www.cs.utexas.edu/~eunsol/courses/data/bitter_lesson.pdf [11] 内存安全软件: https://www.memorysafety.org/ [12] 沙箱化和攻击面收缩: https://securitycryptographywhatever.com/2024/10/15/a-little-bit-of-rust-goes-a-long-way/ [13] 莫名其妙的: https://blog.andymasley.com/p/the-ai-water-issue-is-fake [14] 加州 SB-1047 法案的失败: https://cset.georgetown.edu/article/governor-newsom-vetoes-sweeping-ai-regulation-sb-1047/ [15] 阅读那些记录下这些奇思妙想是如何实现的文章: https://drownattack.com/ [16] 最平凡无奇的那些: https://news.ycombinator.com/item?id=12541008 [17] 重塑整个国家经济的形态: https://am.jpmorgan.com/us/en/asset-management/adv/insights/market-insights/market-updates/on-the-minds-of-investors/is-ai-already-driving-us-growth/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：赛博知识驿站 sockpuppet sockpuppet《AI已颠覆漏洞研究：这不是预言，这是正在发生的事》