二十年来,开发者们笃信一个逻辑:系统越复杂,攻击者就越难找到漏洞。这套理念最近被Claude用九十分钟彻底推翻。
研究人员演示了这款AI如何在一款拥有五万GitHub星标、开源二十年的安全系统中,发现并利用关键漏洞。这一演示揭示了安全行业最担忧却很少量化的事实:攻击者与防御者的权力天平已经根本性倾斜。
影响波及每一个运行软件的组织。攻击者不再需要数月专业人力来寻找可利用的漏洞。过去需要专业团队数周分析的系统,如今一下午就能被彻底检验。发现到利用的时间窗口从数月压缩到数小时,防御者打补丁的时间被大幅削减。
安全圈称之为"暴露窗口"——即漏洞被发现到补丁大规模部署之间的时间差。这个窗口刚刚塌陷了。依赖系统复杂度作为保护的组织,如今面对的是一个去年还不存在的威胁模型:以机器速度进行的自动化漏洞发现。
演示还暴露了一个危险的假设:行业用流行度——星标数、分支数、下载量——作为可信度的替代指标。团队选用某些系统是因为成千上万的人也在用,推测热门代码必然久经考验。但流行度衡量的是人类关注度,而非实际安全状态。AI不在乎项目有多少星标。
研究人员指出,这些能力并非静止不动。推动AI在各领域指数级进步的同一条曲线,正在向安全研究施压。今天九十分钟完成的事,明年可能只需要九分钟。什么是"安全系统"的基准线,正在被能探测每个假设、每个边界情况、每个被忽略输入的机器重新改写。
这让安全团队面临一个艰难的指令:假设你的系统正在被分析。旧有的 playbook——构建复杂度,等待报告,修复漏洞——已经过时。防御者如今必须假设AI研究员随时待命,准备在任何疏漏暴露后数小时内加以利用。
九十分钟不是一个比喻。它是行业必须接受的基准线:漏洞引入到被机器发现的最大时间间隔。