这两天安全圈炸锅了。

号称“世界最安全开源系统”的FreeBSD，被AI用4小时攻破了。

不是那种扫个端口、跑个字典的“脚本小子”级别。是真正的内核远程代码执行，拿到root权限。

更让人后背发凉的是过程：一个研究员，用Claude模型，4小时算力，AI自己完成了从漏洞发现到写出可用攻击程序的全链路。中间要绕过六个高难度技术关卡——比如精确终止内核线程防止系统崩溃、用De Bruijn模式调试栈偏移量——这些过去只有顶级安全专家才能干的事，AI全包了。

这意味着什么？

以前“发现漏洞”和“利用漏洞”之间有条天堑。Fuzzer能找到一堆崩溃点，但要把崩溃变成可用的武器，得靠人肉推理内存布局、反复调试。现在AI一脚油门就跨过去了。

更吓人的是成本：过去专家团队几周的工作，现在几百美元、4小时算力。攻击能力从“稀缺”走向“规模化”，就像精确制导武器突然白菜价。

而防御端呢？企业修个关键漏洞平均要60天。从漏洞披露到被AI武器化的时间窗口，已经从几周压缩到几乎为零。

最后说个细节：同一个流程跑完，这个模型顺手在其他代码库里又挖出500个高危漏洞。

现在的问题已经不是“AI能不能干这事”，而是——你的安全体系，还在以人类的速度对抗机器的速度吗？ http://t.cn/AXIjMfpF