Loading... # 一、新闻概述 ## 1. 标题 关于 LLM 漏洞利用生成即将工业化的思考 ## 2. 发布时间 2026 年 1 月 18 日 ## 3. 来源 Sean Heelan's Blog # 二、核心内容 ## 1. 事件摘要 ### A. 主要内容 安全研究员 Sean Heelan 发布了一项实验结果,展示了使用 Opus 4.5 和 GPT-5.2 构建 AI 代理,在 QuickJS JavaScript 解释器中针对零日漏洞自动生成漏洞利用代码的能力。 ### B. 核心亮点 - AI 代理在 6 种不同场景下成功构建了 40 多种不同的漏洞利用代码 - GPT-5.2 解决了所有场景,Opus 4.5 解决了除两个外的所有场景 - 在最困难的挑战中,GPT-5.2 在 3 小时内花费 5000 万 tokens(约 50 美元)成功解决了涉及多重防护机制的复杂漏洞利用 - 作者提出,攻击性网络安全的许多组成部分正在走向"工业化",即组织完成任务的能力将受到其 token 吞吐量的限制,而非雇用的黑客数量 ## 2. 关键信息 ### A. 实验规模 - 两种模型:Opus 4.5 和 GPT-5.2 - 目标:QuickJS JavaScript 解释器中的零日漏洞 - 6 种不同场景,40 多种不同的漏洞利用代码 - 每次 agent 运行限制 3000 万 tokens - 每次 agent 运行成本约 30 美元(Opus 4.5) ### B. 最困难挑战的技术细节 - 目标:向指定路径写入指定字符串 - 防护措施:地址空间布局随机化、不可执行内存、完整 RELRO、QuickJS 二进制文件上的细粒度 CFI、硬件强制影子栈、防止 shell 执行的 seccomp 沙箱、剥离了所有访问操作系统和文件系统功能的 QuickJS 构建 - 解决方案:GPT-5.2 通过 glibc 的 exit 处理程序机制链接 7 个函数调用 - 耗时:5000 万 tokens,约 3 小时 - 成本:约 50 美元(单次 agent 运行) ### C. 涉及技术 - QuickJS JavaScript 解释器 - 地址空间布局随机化(ASLR) - 不可执行内存(NX) - 完整 RELRO(Relocation Read-Only) - 控制流完整性(CFI) - 影子栈(Shadow Stack) - Seccomp 沙箱 - 面向返回编程(ROP) ## 3. 背景介绍 ### A. 前置版本 Sean Heelan 曾在 2025 年 5 月发布文章,介绍如何使用 o3 发现 Linux kernel SMB 实现中的远程零日漏洞 CVE-2025-37899。 ### B. 相关上下文 - OpenAI 的 Aardvark 项目已显示,花费的 tokens 越多,发现的漏洞越多,质量越高 - Anthropic 报告称,中国黑客团队正在使用其 API 协调攻击 - 作者此前拥有漏洞利用生成领域的研究背景,包括 2019 年的 Gollum 项目和 PhD 论文 # 三、详细报道 ## 1. 主要内容 ### A. 实验概述 作者在 QuickJS JavaScript 解释器中引入了一个零日漏洞,并添加了各种现代漏洞利用缓解措施、各种约束(如假设未知的堆起始状态,或禁止漏洞利用中使用硬编码偏移)和不同目标(生成 shell、写入文件、连接回命令和控制服务器)。 ### B. AI 代理的能力 - 两个代理都将 QuickJS 漏洞转化为"API",允许他们读取和任意修改目标进程的地址空间 - 由于该漏洞是没有公开漏洞利用代码的零日,此能力必须由代理通过阅读源代码、调试和试错来开发 - 大多数挑战在不到一小时内且相对廉价地解决 - 在最困难的挑战中,需要链接多个函数调用来写入文件,但影子栈防止 ROP,沙箱防止简单地生成 shell 进程来解决问题 ### C. 漏洞利用防护机制的缺口 - 生成的漏洞利用代码未展示任何防护机制的新型通用破坏 - 它们利用了这些防护机制中的已知缺陷和实际部署中存在的缺口 - 这些是人类漏洞利用开发者也利用的相同缺口,因为他们通常也不会为每个漏洞利用想出防护措施的新型破坏 - 新颖的是整体漏洞利用链。由于 QuickJS 漏洞是以前未知的(直到作者发现,或者更准确地说:作者的 Opus 4.5 漏洞发现代理发现的),根据定义这是真实的 - GPT-5.2 解决最困难挑战的方法对作者来说也是新颖的,尚未能在网上找到任何书面示例 ## 2. 技术细节 ### A. 工业化定义 作者所说的"工业化"是指组织完成任务的能力将受到其能够投入到该任务中的 token 数量的限制。为了使任务以这种方式"工业化",需要两个条件: 1. 基于 LLM 的代理必须能够搜索解决方案空间。它必须有操作环境、适当的工具,且不需要人工协助。进行真正的"搜索"的能力,以及在花费更多 token 时覆盖更多解决方案空间,也需要模型具有处理信息、对信息做出反应并做出合理决策以推动搜索前进的某种基线能力。在作者的实验中,Opus 4.5 和 GPT-5.2 似乎具备这种能力。 2. 代理必须有某种方式验证其解决方案。验证器需要准确、快速,同样不涉及人工。 ### B. 漏洞开发是工业化的理想案例 环境易于构建,解决它所需的工具被很好地理解,验证是直截了当的。漏洞利用往往涉及构建一种能力,允许你做你不应该能够做的事情。如果在运行漏洞利用后,你能做那件事,那么你就赢了。 例如,一些实验涉及编写漏洞利用以从 JavaScript 进程生成 shell。为了验证这一点,验证工具在特定本地端口上启动监听器,运行 JavaScript 解释器,然后将命令管道传输到其中,以运行连接到该本地端口的命令行实用程序。由于 JavaScript 解释器在正常执行中没有任何类型的网络连接或生成另一个进程的能力,如果你收到回连,你就知道漏洞利用有效,因为它启动的 shell 已经运行了你发送给它的命令行实用程序。 ### C. 问题空间的第三属性 有一类问题可能影响工业化如何/何时可行:如果代理可以在离线设置中解决问题然后使用其解决方案,那么它就映射到模型现在似乎擅长的那种大规模解决方案搜索。如果离线搜索不可行,并且代理需要在与真实环境交互时找到解决方案,而该环境具有代理的某些行动会永久终止搜索的属性,那么工业化可能会更加困难。或者至少,当前 LLM 的能力似乎并不直接映射到具有此属性的问题。 网络入侵中有几项任务具有此第三属性:通过漏洞利用的初始访问、横向移动、维持访问,以及使用访问进行间谍活动(即泄露数据)。你不能提前执行整个搜索然后使用解决方案。一些搜索必须在真实环境中进行,而该环境是对抗性的,因为如果采取错误的行动,它可能会终止整个搜索。即代理被检测并踢出网络,潜在地整个操作被暴露。 ## 3. 数据与事实 ### A. Token 成本 - Opus 4.5:3000 万总 tokens(输入和输出)约 30 美元 - GPT-5.2:5000 万 tokens 约 50 美元(单次 agent 运行) - 并行运行 4 个 agent 时,实际成本接近 150 美元 ### B. 解决时间 - 大多数挑战:不到一小时内解决 - 最困难挑战:约 3 小时 ### C. 实验数据 - 所有代码、详细实验报告和代理产生的原始数据已发布在 GitHub 上 - 项目名为 anamnesis-release # 四、影响分析 ## 1. 行业影响 ### A. 技术趋势 - 我们已经处于一个可以通过 token 换取真实结果的漏洞发现和漏洞开发阶段 - 随着挑战变得更难,作者能够花费越来越多的 token 来继续找到解决方案 - 最终限制因素是预算,而不是模型 ### B. 攻击性网络安全的工业化 组织开发和部署漏洞利用的能力将受到其 token 吞吐量的限制,而非雇用的黑客数量 - 限制因素从"人力"转变为"计算资源" - 可能导致网络攻击门槛降低,更多组织具备高级攻击能力 ## 2. 用户影响 ### A. 安全厂商 - 需要评估其产品是否能抵御 AI 生成的漏洞利用 - 可能需要开发基于 AI 的防御技术 - 漏洞修补的紧迫性将增加 ### B. 企业和组织 - 攻击面可能扩大,因为更多攻击者能够生成复杂的漏洞利用 - 需要加强纵深防御策略 - 零日漏洞的威胁将更加常态化 ### C. 研究社区 - 需要更多基于真实零日漏洞的评估,而非 CTF 和合成环境 - 应该公开报告大规模 token 消耗的评估结果 ## 3. 技术趋势 ### A. 离线搜索 vs 在线搜索 - 离线搜索问题(如漏洞开发)更容易工业化 - 在线搜索问题(如网络入侵中的横向移动)更具挑战性,因为环境的对抗性 ### B. SRE 自动化作为"金丝雀" - 如果有公司成功销售代理来自动化 SRE 工作,并使用前沿实验室的通用模型,那么这些相同模型很可能被用来自动化各种黑客相关任务 - SRE 和黑客在网络内操作的概念上类似的问题 ### C. 评估现状 - 当前基于 CTF 的评估和使用合成数据或旧漏洞的评估在与针对硬目标的零日漏洞发现和利用相关的问题上并不那么信息丰富 - 需要对真实、困难的目标使用零日漏洞进行评估,并公开报告这些评估 # 五、各方反应 ## 1. 作者观点 - 这些实验改变了作者对网络领域中什么可能和不太可能被自动化以及时间线的预期 - 强烈敦促前沿实验室中评估模型能力的团队以及 AI 安全研究所考虑使用零日漏洞对真实、困难的目标评估其模型,并公开报告这些评估 ## 2. 行业现状 ### A. OpenAI Aardvark 项目 - 已显示花费更多 tokens 可以发现更多且质量更高的漏洞 ### B. Anthropic 报告 - 中国黑客团队正在使用其 API 协调攻击,表明组织正在尝试使这种工作有效 ### C. 公开信息缺口 - 关于 LLM 在真实环境中执行这些任务的表现,公开信息较少(出于明显原因) # 六、相关链接 ## 1. 实验代码和数据 - GitHub 仓库:https://github.com/SeanHeelan/anamnesis-release/ ## 2. 作者相关文章 - How I used o3 to find CVE-2025-37899:https://sean.heelan.io/2025/05/22/how-i-used-o3-to-find-cve-2025-37899-a-remote-zeroday-vulnerability-in-the-linux-kernels-smb-implementation/ ## 3. 相关背景 - OpenAI Aardvark 项目 - Anthropic 中国黑客团队报告:https://www.anthropic.com/news/disrupting-AI-espionage *** ## 参考资料 1. [On the Coming Industrialisation of Exploit Generation with LLMs](https://sean.heelan.io/2026/01/18/on-the-coming-industrialisation-of-exploit-generation-with-llms/) 2. [anamnesis-release GitHub Repository](https://github.com/SeanHeelan/anamnesis-release/) 最后修改:2026 年 01 月 24 日 © 允许规范转载 赞 如果觉得我的文章对你有用,请随意赞赏