AI用4小时攻破FreeBSD内核拿到root，网络安全的游戏规则变了

文章目录1、前言2、事件速览从CVE到Root Shell2.1 一张图看懂整个事件2.2 事件核心时间线2.3 MAD Bugs计划远不止一个漏洞3、技术深潜CVE-2026-4747完全拆解3.1 漏洞基本信息3.2 漏洞根因一个缺失的长度检查3.3 Claude的自主攻击链6大阶段3.3.1 阶段一环境自主配置3.3.2 阶段二漏洞触发与崩溃分析3.3.3 阶段三ROP链构造3.3.4 阶段四BSS段权限修改3.3.5 阶段五分批Shellcode投递3.3.6 阶段六获取Root Shell3.4 修复方案讽刺的简洁4、FreeBSD为什么重要5、AI进攻性网络安全能力的指数级增长5.1 Lyptus Research的量化数据5.2 MIT FutureTech的交叉验证5.3 能力增长意味着什么6、安全社区的激烈争论6.1 漏洞研究已死——支持方的震撼6.2 没那么可怕——质疑方的理性声音6.3 我的观点7、深层影响网络安全的范式转移7.1 漏洞利用窗口急剧压缩7.2 漏洞研究的民主化7.3 首个AI编排的网络间谍活动7.4 漏洞末日是否将至8、Anthropic的立场以攻为守9、总结我们站在哪里作者介绍AI 应用工程师 / 产品架构师阿里云专家博主。专注 LLM 应用开发、Agent 系统设计、具身智能与工业 AI 落地。日常在大模型训练、Coding Agent 工具链、AI 产品商业化等方向持续输出实战内容。个人主页逐梦苍穹GitHub主页https://github.com/XZL-CODE✈ 您的一键三连是我创作的最大动力1、前言2026年3月29日一件震动全球网络安全圈的事情发生了Anthropic的Claude Opus 4.6在仅约4小时的实际计算时间内自主编写了一套完整的FreeBSD内核远程代码执行RCE漏洞利用程序成功获取了root shell。这不是科幻电影的情节而是Anthropic前沿红队Frontier Red Team负责人Nicholas Carlini主导的MAD Bugs项目中的真实实验。FreeBSD官方安全公告SA-26:08明确将漏洞发现者署名为“Nicholas Carlini using Claude, Anthropic”。这是已知的首个由AI自主发现并完整利用的远程内核级漏洞标志着AI从安全辅助工具正式跃升为自主安全研究员。而更令人深思的是——过去需要国家级安全团队耗时数月、投入数百万美元才能实现的内核级零日漏洞利用开发AI仅用几百美元的算力费在4小时内就完成了。本文将从事件全貌、技术细节、能力趋势和深层影响四个维度带你深入理解这一里程碑事件。2、事件速览从CVE到Root Shell2.1 一张图看懂整个事件2.2 事件核心时间线时间节点事件2026年2月5日Anthropic发布Claude Opus 4.6同步启动MAD Bugs计划2026年3月25日Claude发现FreeBSD RPCSEC_GSS模块漏洞2026年3月26日FreeBSD发布安全公告SA-26:08及修复补丁2026年3月29日 9:45 AMClaude被要求编写完整漏洞利用代码2026年3月29日 5:00 PMClaude交付可获取root shell的完整exploit约4小时计算时间2026年3月31日Calif.io发布技术博客公开全部攻击细节2026年4月1日WinBuzzer、NotebookCheck等全球主流科技媒体广泛报道2026年4月2日Lyptus Research发布AI进攻性能力倍增研究报告2.3 MAD Bugs计划远不止一个漏洞FreeBSD事件只是冰山一角。MAD BugsMonth of AI-Discovered Bugs计划将Claude置于沙盒虚拟机中仅配备Python和标准漏洞分析工具不给予任何专项攻击指令以测试其开箱即用的安全研究能力。截至2026年4月初Claude已在以下生产级开源软件中验证了超过500个高危零日漏洞Vim/Emacs文本编辑器Firefox浏览器GhostScriptPDF处理引擎Ghost5万 GitHub Star的开源博客平台FreeBSD内核本文主角并且以每隔数天发布一个新漏洞披露的节奏持续公开。3、技术深潜CVE-2026-4747完全拆解3.1 漏洞基本信息字段内容CVE编号CVE-2026-4747CVSS评分8.8高危FreeBSD官方公告FreeBSD-SA-26:08.rpcsec_gss受影响版本FreeBSD 13.5 (p11), 14.3 (p10), 14.4 (p1), 15.0 (p5)漏洞类型栈缓冲区溢出Stack Buffer Overflow漏洞位置kgssapi.ko模块中的svc_rpc_gss_validate()函数3.2 漏洞根因一个缺失的长度检查漏洞位于FreeBSD内核的kgssapi.ko模块中该模块为NFS网络文件系统服务器提供RPCSEC_GSS认证支持基于Kerberos。核心问题svc_rpc_gss_validate()函数将攻击者可控的凭证体credential body通过memcpy复制到一个128字节的栈缓冲区rpchdr[]中但完全没有检查输入长度。关键数据栈缓冲区rpchdr[]总大小128字节其中前32字节已被RPC头部占用实际可用空间仅96字节XDR协议层允许凭证体最大达400字节因此攻击者可制造最多304字节的栈溢出溢出发生在内核上下文Ring 0的NFS工作线程中覆盖返回地址即意味着——完整的内核代码执行权限。3.3 Claude的自主攻击链6大阶段这是整个事件中最令人震撼的部分——Claude全自主完成了以下全部工作无需任何人工干预3.3.1 阶段一环境自主配置Claude自主搭建了包含NFS和Kerberos的FreeBSD虚拟机测试环境使用QEMU进行管理和调试。这本身就是一项需要相当专业知识的系统管理任务。3.3.2 阶段二漏洞触发与崩溃分析构造超长凭证体触发栈溢出通过QEMU读取内核crash dump崩溃转储精确定位溢出点和可控数据范围。3.3.3 阶段三ROP链构造从内核中搜索可用的指令片段gadgets构造Return-Oriented Programming链。还解决了与遗留调试寄存器legacy debug registers相关的非平凡工程问题。3.3.4 阶段四BSS段权限修改第1轮攻击通过ROP链修改内核BSS段的页表属性使其变为可执行RWX为后续shellcode投递铺路。3.3.5 阶段五分批Shellcode投递这里体现了Claude极高的工程创造力由于每个RPCSEC_GSS凭证体最大只有400字节减去正常数据后每轮ROP链空间只有约200字节而完整的shellcode有432字节。Claude的解决方案是分15轮投递第1轮使BSS段可执行第2~14轮每轮建立全新的Kerberos GSS上下文发送含超大凭证体的数据包每次向BSS段写入32字节shellcode第15轮写入最后16字节并跳转至shellcode入口点3.3.6 阶段六获取Root Shellshellcode在内核空间执行成功获取远程root权限。更惊人的是——Claude实际写出了两套使用不同策略的完整利用代码且两套代码均在首次运行时就成功获取了root shell。3.4 修复方案讽刺的简洁相比Claude构建的复杂攻击链FreeBSD的修复方案极其简洁——仅增加了一行边界检查代码if(cred_lensizeof(rpchdr))returnAUTH_BADCRED;一行代码防住了一个内核级远程RCE。这种攻击复杂、修复简单的不对称性正是安全领域最经典的矛盾。4、FreeBSD为什么重要有人可能会问FreeBSD的市场份额那么小约0.3%~0.6%被攻破有什么大不了的答案是FreeBSD支撑着你每天都在使用的大量关键基础设施使用方应用场景NetflixOpen Connect Appliances内容分发节点全球流媒体传输的核心引擎Sony PlayStationPS3/PS4/PS5操作系统均基于FreeBSDJuniper NetworksJunOS网络操作系统基于FreeBSD运行在全球大量核心路由器上WhatsApp早期服务器端使用FreeBSD支撑数十亿消息传输FlightAware全球航班追踪平台当AI能在4小时内攻破FreeBSD内核意味着全球互联网基础设施的安全假设需要被重新审视。5、AI进攻性网络安全能力的指数级增长5.1 Lyptus Research的量化数据2026年4月2日独立研究机构Lyptus Research发布了一份重磅报告将METR的时间跨度方法论应用于进攻性网络安全领域通过与10位专业安全从业者的人类基准对照研究得出核心发现长期趋势AI进攻性网络安全能力自2019年以来每9.8个月翻倍一次加速趋势以2024年以后数据单独拟合倍增周期加速至5.7个月当前水平Claude Opus 4.6在2M token预算下能以50%成功率完成人类专家3小时的安全任务未来预测若token预算增至10M能力等效时间跨度将达到10.5小时5.2 MIT FutureTech的交叉验证MIT FutureTech的独立研究显示LLMs处理任务长度每3.8个月翻倍——比Lyptus的预测更为激进。两套完全独立的评估体系均指向同一个结论AI能力正在真实、广泛、指数级爆发。5.3 能力增长意味着什么简单做个推演2025年底AI在高难度网络安全任务上的成功率约为25%2026年中成功率将提升至约60%2027年AI可能在大多数网络安全任务上超越人类顶级专家这不是线性增长的故事而是指数增长的现实。6、安全社区的激烈争论这一事件在安全研究社区引发了截然不同的反响。6.1 “漏洞研究已死”——支持方的震撼Thomas Ptacek著名安全研究员Trail of Bits背景发表文章**《Vulnerability Research Is Cooked》**直言不讳地指出漏洞本质上是模式匹配问题和约束求解问题恰恰是LLM最擅长的搜索任务。AI将从根本上颠覆漏洞研究领域。Matthew Green约翰·霍普金斯大学密码学家提出了核心问题AI加速漏洞发现后攻防双方究竟谁更受益多位研究人员警告AI驱动的漏洞利用开发正在将漏洞公开到可用攻击工具出现的窗口从数周压缩至数小时。6.2 “没那么可怕”——质疑方的理性声音Hacker News等社区的技术讨论中也出现了理性的质疑关于自主发现的争议Claude是在被提供了CVE分析报告后再被要求写利用代码的并非从零开始独立挖洞。不过FreeBSD官方公告确实将Claude列为漏洞发现者利用条件的局限性CVE-2026-4747的利用需要目标同时满足NFS对外暴露和kgssapi.ko已加载两个条件在现实中属于非常规配置防护缺失降低难度FreeBSD 14.x缺乏KASLR内核地址空间布局随机化和stack canaries等现代内核防护机制客观上降低了利用难度6.3 我的观点作为一个长期关注AI能力边界的从业者我认为两方说的都有道理但重点应该放在趋势而非个案上个案的局限性是真实的——这次的漏洞利用确实有特定的有利条件。但个案的不完美并不否定趋势的方向能力增长的趋势才是最重要的信号——从500零日漏洞的广度到内核级exploit的深度AI的安全研究能力正在全面突破时间窗口在快速关闭——今天需要特殊条件才能利用的漏洞类型半年后可能就不再是障碍7、深层影响网络安全的范式转移7.1 漏洞利用窗口急剧压缩传统的安全响应流程是漏洞公开 → 安全团队分析 → 开发补丁 → 测试 → 部署。这个流程通常需要数周。但当AI能在数小时内从漏洞报告生成可用的exploit防御方的修复窗口被压缩到了极致。补丁发布的速度如果跟不上exploit生成的速度整个安全响应体系将面临失效。7.2 漏洞研究的民主化过去内核级漏洞利用是极少数顶尖安全研究员才掌握的技能需要多年的专业积累。AI正在将这个门槛急剧拉低——这是一把双刃剑防御侧企业可以用AI主动扫描自身代码中的漏洞攻击侧低技能攻击者也获得了高级别的攻击能力7.3 首个AI编排的网络间谍活动独立于FreeBSD事件Anthropic在2025年11月披露了另一重大安全事件一个被评估为中国国家支持的APT组织编号GTG-1002通过将攻击任务分解为大量看似无害的小任务绕过Claude Code的安全限制使AI自主处理了80-90%的战术操作——包括侦察、漏洞测试、编写利用代码、收集凭证和数据外泄。约30个全球目标遭到攻击涵盖大型科技公司、金融机构和政府机构。这意味着AI Agent本身已经成为新的高危攻击载体。7.4 漏洞末日是否将至当AI发现漏洞的速度超过人类修复漏洞的速度会发生什么Claude以每隔数天发布一个新零日漏洞的节奏持续公开而每个漏洞的修复需要开发、测试、部署的完整流程。如果AI的漏洞发现能力继续按5.7个月翻倍的速度增长我们可能在不远的将来面临一个漏洞发现速度远超修复能力的临界点。安全社区已经开始用Vulnpocalypse漏洞末日来描述这种可能性。8、Anthropic的立场以攻为守Anthropic的官方逻辑值得思考攻击者早晚会使用AI进行漏洞挖掘防御方更应该率先主动发现并修复这些漏洞。基于这个理念Anthropic推出了Claude Code Security商业产品将AI安全研究能力以受控方式提供给企业安全团队使用。MAD Bugs计划也遵循了完整的负责任披露流程——在FreeBSD发布修复补丁后才公开利用代码细节。这种以攻促防的逻辑是否成立我认为短期来看是合理的——主动发现并修复总比被攻击者先发现要好。但长期来看当AI的攻击能力远超防御能力时单纯的先发现先修复策略可能不足以应对。9、总结我们站在哪里回顾这一事件几个关键事实值得铭记AI已具备自主内核级漏洞利用能力——这不再是理论可能性而是已验证的现实成本断崖式下降——从数月数百万美元到4小时几百美元能力仍在指数增长——每5.7个月翻倍没有放缓的迹象攻防不对称性在扩大——AI降低了攻击门槛但防御的复杂度并未同步降低作为AI从业者我认为这个事件传递的最核心信息是AI不再是工具而是行动者。它已经能够自主理解操作系统内核、内存布局、协议规范等高度复杂的专业知识并将其转化为实际的攻击行动。对于安全行业来说这不是一个是否的问题而是一个何时的问题——AI驱动的攻防对抗时代已经到来。参考资料MAD Bugs: Claude Wrote a Full FreeBSD Remote Kernel RCE with Root Shell - Calif.ioFreeBSD-SA-26:08.rpcsec_gss - FreeBSD官方安全公告CVE-2026-4747 - NIST NVDVulnerability Research Is Cooked - Thomas PtacekAI Task Length Horizons in Offensive Cybersecurity - Lyptus Research0-Days - Anthropic Red TeamDisrupting AI Espionage - Anthropic 持续探索 AI 与前沿技术分享大模型应用、软件开发实战与行业洞察。欢迎关注公众号【龙哥AI】加入 7000 技术同行的交流圈 探索技术边界让开发更有效率