花1.5萬、燒掉23億Token，CTO讓Claude一周“打穿”Chrome！實測結果：別等Mythos了，現有AI已經“高危”

整理 | 鄭麗媛

出品 | CSDN（ID：CSDNnews）

如果你在網絡安全圈混，最近一定被“Mythos”刷過屏——Anthropic 搞出了一個能挖 Bug 的 AI 模型，但因為怕被壞人濫用，愣是沒敢公開發布。

聽起來像是一部科幻大片的開場？別急，真正的劇本可能更接“地氣”：因為就在 Mythos 還躺在實驗室里的時候，它的“前輩” Claude Opus 4.6，已經在一位 CTO 的指揮下，成功寫出了一個針對 Chrome 的完整 Bug 利用鏈。

代價是：2283 美元（約合人民幣 1.5 萬元）的 API 費用，外加 20 小時的“保姆式”指導。

主角不是 Mythos，而是 Claude Opus 4.6

這次實驗來自 Hacktron CTO、研究員 Mohan Pedhapati（網名 s1r1us）。他選擇的工具，并不是傳聞中的 Mythos，而是當時已經公開提供的 Claude Opus 4.6——甚至這個版本后來還被 Opus 4.7 取代了。

換句話說，他用的不是“未來武器”，而是普通用戶就能接觸到的現成模型。

他把目標鎖定在一個很多人每天都在用的軟件 Discord，原因很簡單：Discord 桌面端基于 Electron 構建，自帶 Chromium 內核，但它所使用的 Chrome 版本明顯落后于官方最新版。

當時，Discord 運行的是 Chrome 138，而官方 Chrome 已更新至 147，整整落后 9 個大版本——這類版本差距，在安全領域往往意味著一句話：已修復Bug，很可能仍在用戶電腦里繼續“裸奔”。

然后，Pedhapati 打開了 Anthropic 的 Claude Opus 4.6，給了它一個任務：針對這個老舊的 Chrome，寫出一段能攻陷它的代碼。但整個過程并不輕松，用 Pedhapati 自己的話說：

“來回折騰了一周，消耗了 23 億 token，歷經 1765 次請求，API 費用花了 2283 美元，我還花了大約 20 個小時不停把它從死胡同里拽出來。”

最終成果是：成功彈出了系統計算器（pop calc）。這里解釋一下，“彈計算器”（pop calc）是 Bug 利用圈的行話：當你寫的惡意代碼能在別人電腦上打開計算器，就證明你已經獲得了執行任意命令的能力——也就是說，這個系統被你拿下了。

一周時間，AI 到底做了什么？

根據 Pedhapati 發布的博文，他讓 Claude Opus 4.6 執行的任務，大致分三步：

（1）第一步：從補丁里找 Bug 機會

他先整理出 Chrome 138 到 Chrome 147 之間公開修復的大量 CVE，然后讓模型分析：

● 哪些補丁涉及 V8 引擎

● 哪些改動可能對應可利用 Bug

● 哪些更適合構造越界讀寫能力

這一步最耗 Token，因為很多路線都會失敗。Claude Opus 4.6 嘗試了幾十種思路，不少看起來有戲的 Bug 最后都走進了死胡同。

（2）第二步：構造越界訪問能力（OOB）

最終選中的目標，是一個 V8 越界讀寫 Bug。據 Pedhapati 介紹，這個核心 Bug 編號為 CVE-2026-5873，修復于 Chrome 147 版本。Claude 根據公開 patch 信息，反推出觸發邏輯，并構造出可工作的 OOB（Out-of-Bounds）原語。

簡單理解，就是讓程序訪問“不該訪問的內存區域”，從而為后續控制程序鋪路。

（3）第三步：繞過保護機制，拼成完整攻擊鏈

現代瀏覽器不會因為一個越界 Bug 就輕易被攻破，還存在各種隔離與沙箱機制。因此 Pedhapati 又讓模型繼續拼接第二階段 Bug，用來繞過 V8 的保護邊界，最終拿到任意代碼執行能力。

幾天后，整個完整 Bug 利用鏈成功跑通。

2283美元貴嗎？黑客可能覺得很便宜

你可能覺得花兩千多美元就為彈個計算器，太奢侈了。但 Pedhapati 算了一筆賬：

● 一個人類安全研究員，如果不靠 AI 輔助，獨立開發一個類似的漏洞利用鏈，通常需要數周的專注工作；

● 就算把他 20 小時的“保姆時間”按幾千美元算進去，總成本還是比 Google 和 Discord 漏洞獎勵計劃里的獎金（約 15000 美元）要低得多；

● 更別提黑市上那些匿名買家愿意出的價碼了，據說有人直接私信開價，愿意給出官方賞金 10 倍的價格。

不過 Pedhapati 也坦言，目前模型并不完美。Claude 在實驗中經常出現問題，包括卡在錯誤方向反復打轉、上下文太長后忘了之前做過什么、靠猜測寫 exploit、解決不了問題時“作弊式完成任務”等。例如有一次，Claude 繞過找 Bug 這一步，直接調用系統命令彈計算器。

這說明現在的大模型，還需要專業人員盯著、糾偏、提供調試反饋。Pedhapati 的 20 小時，也基本都花在把這些毛病掰回來上。

可真正讓人擔心的恰恰是：哪怕模型已經這么笨拙了，它卻還是成功了。

那下一代模型呢？如果上下文更長、推理更穩、自動化更強、成本更低，人類介入時間越來越少，黑客的攻擊門檻自然也會持續下降：過去，廠商發布安全補丁后，攻擊者要花不少時間逆向分析修復內容，找出 Bug 原理，再寫利用代碼；如今，AI 可以加速這個流程。

Pedhapati 認為，隨著 AI 模型在 Bug 利用開發上越來越強，補丁空窗期會被壓縮得越來越短：

“每個補丁本質上都是一個 Bug 提示。”

不僅如此，這對開源項目尤其麻煩，因為修復 commit 在修訂版本發布之前就已經在代碼倉庫里公開可見了，但穩定版往往會稍晚發布，而大量用戶尚未升級——這個時間差，可能正在變成 AI 的主戰場。

為此，Pedhapati 給開發者的建議是：代碼 push 之前就要更重視安全審查；維護一份完整的關鍵依賴版本清單，知道自己跑的是什么；安全補丁應該自動應用，不需要用戶點“確認”；開源項目在公開 Bug 細節的時機上要更加謹慎——因為每一個公開的 commit，都是“發令槍”。

Mythos是否強大，也許已經不重要了

最后，回到 Mythos。外界還在討論 Anthropic 為什么不公開 Mythos，是不是過度營銷、夸大威脅。對此，Pedhapati 的回答是：這不重要。

這次實驗已經說明：即使“最強模型”沒開放，現有的公開模型也足夠開始改變攻防格局。

“Mythos 是不是被吹過頭了根本不重要，”Pedhapati 說，“這條曲線并沒有變平。就算不是 Mythos，也會是下一個版本，或者再下一個。遲早有一天，任何一個有耐心、有個 API key 的腳本小子都能在沒打補丁的軟件上彈 shell。問題不是會不會發生，而是什么時候發生。”

所以，真正的轉折點，可能不是某一天突然出現“超級黑客 AI”，而是從現在開始：exploit 開發越來越快、Bug 分析越來越便宜、未更新軟件越來越危險。

這次，還需要 2283 美元和一周時間；下一次，可能只需要幾十美元，外加一杯咖啡的時間。

參考鏈接：https://www.hacktron.ai/blog/i-let-claude-opus-to-write-me-a-chrome-exploit