文章总结： DARPA的AI网络挑战赛赛后通过140万美元奖金池驱动七支团队在真实项目中挖掘漏洞，截至2026年3月共发现83个漏洞覆盖Android、Linux等30多个核心项目，平均每个漏洞奖金约1万美元。技术亮点包括AI突破传统工具限制识别逻辑漏洞、自动生成验证补丁，并与黑盒高成本商业工具形成对比。关键障碍在于行业推广困难，建议基础设施领域开展小规模验证测试。 综合评分： 85 文章分类： 漏洞分析,AI安全,安全工具,技术标准,解决方案

平均每个漏洞约1万美元：DARPA 又发奖金

i3eg1nner&林00 i3eg1nner&林00

SecureNexusLab

2026年5月21日 09:10 北京

在小说阅读器读本章

去阅读

❝

别只盯着Anthropic的Claude Mythos，DARPA这场竞赛已经在Linux内核、SQLite、Android里找到了真实漏洞。

❞

美国国防高级研究计划局（DARPA）发起的“人工智能网络挑战赛”（AIxCC），在2025年8月决出胜负后，又用一笔140万美元的奖金池，驱动七支决赛团队将AI系统投入真实世界的漏洞挖掘。

一、实战数据：83个真实漏洞，覆盖30多个核心项目

2025年8月，DARPA在DEF CON上宣布了AIxCC的三支获胜团队：Atlanta（冠军）、Trail of Bits（亚军）、Theori（季军）。但这只是开始。

赛后，DARPA设立了一个「140万美元的额外奖金池」，要求所有七支决赛队伍用各自的AI系统，在「真实的商业和开源项目」中寻找并修复漏洞。每支队伍最高可获20万美元，每个项目最高1万美元。DARPA跟踪了各团队与项目维护者的互动，并审查了漏洞提交质量。

截至2026年3月，战果如下：

• 「发现83个真实漏洞」
• 「覆盖30多个商业/开源项目」
• DARPA实际发放奖金 「83万美元」（平均每个漏洞约1万美元）

目标项目清单包括：「Android、Linux、SQLite、Redis、PostgreSQL、MariaDB、Python、Apache核心库、Apple XNU内核（macOS/iOS）、U-Boot引导加载程序」——几乎涵盖互联网基础架构的半壁江山。

具体到团队：

• 「冠军Atlanta队」：在U-Boot引导加载程序以及多个Apache核心库中发现缺陷。

• 「决赛团队42-b3yond-6ug」：在Linux内核中识别出漏洞，攻击者可利用这些漏洞瘫痪广泛嵌入关键基础设施的设备。

• 「季军Theori」：其系统Xint已用于Redis、Postgres、MariaDB、Python、Linux及Apple XNU内核的漏洞挖掘，并发现了多个有效漏洞。

  

DARPA项目经理安德鲁·卡尼表示，竞赛结束至今，“各团队仍在持续发现并提交其他项目的漏洞补丁。”

二、技术亮点：不止于挖洞，还能自动验证补丁

传统静态分析工具（SAST）和模糊测试（fuzzing）在语法错误、内存越界等方面表现出色，但面对「逻辑漏洞」时几乎无能为力。所谓逻辑漏洞，是指代码在语法上正确、流程上也看似合理，但在特定业务上下文或调用路径中会产生权限绕过、状态错误等问题。

亚军团队Trail of Bits的首席安全工程师迈克尔·布朗指出：「“AI在理解上下文方面越来越强，自动化工具能够不断拓展边界。”」 大型语言模型（LLM）因训练数据包含海量代码和文档，能够识别出“此处可能存在典型的逻辑绕过模式”，这是传统工具无法做到的。

更关键的是「补丁验证能力」。DARPA竞赛要求参赛系统不仅要找到漏洞，还要「自动生成并验证修复方案」。对于关键基础设施企业而言，打补丁往往比找漏洞更困难——定制化硬件、无法中断的业务、缺乏测试环境，使得补丁部署风险极高。而AI系统能够输出经过验证的补丁，大幅降低人工判断成本。

安德鲁·卡尼指出：“对于安全关键、高保障要求的系统，验证能力具有巨大的价值。在与基础设施组织的对话中，这通常是讨论的核心。”

三、二进制固件分析：下一个前沿

大部分嵌入式设备（如医疗设备、工控系统）的固件以「二进制形式」存在，而非可读的源代码。二进制代码不像自然语言或高级语言那样结构清晰，AI模型处理起来难度陡增。

Trail of Bits与美国卫生与公众服务部（HHS）合作，「用AI扫描医疗设备固件中的漏洞」。为此，团队几乎重新构建了一套系统，专门处理二进制输入。研发总监特伦特·布朗森表示：“一旦解决了二进制分析的问题，世界就是我们的。” 该项目已通过强力的供应商与医院合作，修复了大量高危漏洞。

这也是目前DARPA竞赛成果落地最成功的案例。

四、与Claude Mythos的对比：开源、低成本、可部署

Anthropic的Claude Mythos和OpenAI的同类工具，虽然能力强大，但存在三个现实障碍：

• 「黑盒」：不公开内部机制，无法本地化部署。
• 「成本高昂」：一次代码审计可能消耗数万甚至七万五千美元的API token，而产出可能只是几个低风险漏洞。
• 「不可用」：Anthropic以“过于危险”为由拒绝公开发布。

相比之下，DARPA竞赛产出的工具（如Theori的Xint、Trail of Bits的Buttercup）具有截然不同的特点：

• 「开源或可合作获取」：竞赛规则要求核心能力最终开源。
• 「低成本」：可本地部署，无API token费用。
• 「自动化验证」：不仅报告漏洞，还提供经过验证的补丁。

特伦特·布朗森用一个生动的比喻形容Claude的使用体验：“就像走进一家没有标价的豪华餐厅。你知道代码库很大，但不知道里面有什么bug。公司可能不知不觉花掉5万、7.5万美元，最后只得到几个价值很低的漏洞。” 而DARPA路线更适合预算有限的关键基础设施企业。

五、推广障碍：技术到位了，行业却不接招

尽管技术已具备实战能力，但向关键基础设施领域的推广进展缓慢。Theori的研究员泰勒·奈斯旺德坦言：“说服那些步伐较慢的公司和行业采用这项技术，一直非常困难。不同行业的采用周期和意愿差异巨大。”

最终，Theori签下的关键基础设施实体「不到五家」。

障碍主要来自三个方面：

1. 「认知偏差」：部分企业认为现有安全团队已经足够，即使明知人力不足，也不愿改变。
2. 「技术适配」：老旧OT环境（如Windows XP时代的工控机）难以集成现代AI工具。
3. 「流程与合规」：缺乏内部批准机制、责任归属不清、没有红头文件驱动，导致无人主动推进。

DARPA已尝试通过向多个行业协调委员会（SCC）进行简报来打破僵局。安德鲁·卡尼最近在「健康行业协调委员会」的会议上介绍了竞赛进展，他认为这类论坛是高效的信息传播渠道。

前国土安全部新兴技术政策主任尼克·里斯也指出，同样的AI工具“为安全专业人员提供了巨大机遇，但若攻击者获取了相同数据，也会形成潜在优势”——AI漏洞挖掘是一把双刃剑。

六、参考

基于以上事实，可以提炼出三条无需主观判断的结论：

「第一，不必与AI比拼体力，而应聚焦洞察力。」 AI可在数小时内完成数人月的代码审计，但无法判断漏洞在业务上下文中的真实危害等级，也无法推动跨部门修复决策或从架构层面预防同类问题。

「第二，关键基础设施行业应尽早开展小规模验证。」 DARPA竞赛产出的工具已开源或可通过合作获取。建议选取非核心系统进行为期一周的POC测试，评估AI漏洞挖掘在实际环境中的效果。

「第三，对“AI太危险而不发布”的说法保持冷静。」 Claude Mythos等封闭系统的能力被高度宣传却不可获得；而DARPA路线的做法是将工具交予开源社区，让防御者共同使用。两种模式对安全生态的实际影响值得长期观察。

最后

DARPA的AIxCC竞赛，完成了从学术演示到工程工具的跃迁。「将AI漏洞挖掘从论文和CTF题目中，推向了Linux内核、SQLite、Android和医疗设备固件的真实战场。」

这不代表AI万能。但事实已经清晰：一支由政府发起、开源驱动的“AI抓虫特遣队”，正在以极低成本默默修复整个互联网依赖的基础软件。

下一次类似Log4j级别的漏洞爆发，第一个发现它的可能不是某位安全研究员，而是一个在后台静默运行的开源AI系统。

本文全部技术事实均基于Cybersecurity Dive报道《How a government contest launched a revolution in AI-based bug hunting》（Eric Geller, 2026年5月18日）及DARPA AIxCC竞赛公开数据。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：SecureNexusLab i3eg1nner&林00 i3eg1nner&林00《平均每个漏洞约1万美元：DARPA 又发奖金》