乐于分享
好东西不私藏
当前位置:夜雨聆风 > 技术教程 > 软件教程 > AI一次攻击花1.25万刀:网络安全正在变成"挖矿"游戏

AI一次攻击花1.25万刀:网络安全正在变成"挖矿"游戏

当前时间: 2026-04-26 18:18:39 更新时间: 2026-04-26 分类:软件教程 评论(0)

AI一次攻击花1.25万刀:网络安全正在变成"挖矿"游戏

AI一次攻击花1.25万刀:网络安全正在变成”挖矿”游戏

2026年4月25日

最近一个实验让我后背发凉:Anthropic的AI模型Claude Mythos,用1.25万美元的成本就能攻破一个需要安全专家花20小时才能完成的企业网络。更可怕的是,没人看到收益递减的迹象——烧的钱越多,找到的漏洞就越多。

这场面,像极了比特币矿机在电费战场上厮杀。

01.

一个让安全圈坐立不安的实验

事情要从 Anthropic 说起。这家公司在4月7日发布了一款叫 Claude Mythos 的模型,能力描述让圈内的老哥们集体沉默了——它发现漏洞的能力实在太强,强到 Anthropic 不敢公开发布,只敢把使用权交给几家关键软件开发商,让他们自己加固系统。

英国 AI 安全研究所(AISI)坐不住了,决定自己测一测。他们设计了一个32步的企业网络攻击模拟,从最初的侦察到最后的完全接管网络,正常情况下需要人类安全专家干上整整20个小时。

最让人心里发毛的是:没有任何模型显示出收益递减的迹象。 你给更多 token,它就能挖出更多漏洞,线性增长,没有天花板。这感觉就像……你永远填不满的漏洞扫描仪。

02.

从”脑筋急转弯”到”充值游戏”

安全工程师 Drew Breunig 在他博客里说了句大实话:当 AI 发现漏洞的能力和投入的计算资源成正比的时候,安全防御的本质就变了。

过去安全工程师靠什么吃饭?精巧的架构设计、层层叠叠的纵深防御、严格到变态的安全编码规范。说白了,是聪明

现在呢?买更多的 token,跑更多的扫描,比攻击者烧更多的钱。 这套逻辑和比特币的工作量证明机制简直是一个妈生的——谁投入的算力多,谁就更有可能挖到矿。只不过这里的”矿”是漏洞利用。

数据摆在那里,够残酷。Mythos 生成了181个有效的 Firefox 漏洞利用,相比上一代模型的2个,翻了整整90倍。它在 OSS-Fuzz 基准测试里成功对10个完全打过补丁的目标实现了控制流劫持。更离谱的是,它还挖出了一个存在了 27年 的 OpenBSD TCP 漏洞和一个17年的 FreeBSD 远程代码执行漏洞。

而代价呢?扫描 OpenBSD 1000次,也就不到2万美元。开发一个复杂的 Linux 漏洞利用,不到24小时,成本压到2000美元以下。漏洞这东西,现在便宜得像白菜,但发现它的成本却在疯狂飙升。

03.

中本聪的幽灵在工作量证明里微笑

聊工作量证明,必须提到 Adam Back。1997年,这哥们整出了 Hashcash——一个靠消耗算力来对抗垃圾邮件的系统。发邮件之前,你的电脑得先解一道密码学难题,验证倒是快,毫秒级别,但解题得耗上好几秒。

到了2008年,一个叫中本聪的神秘人把 Hashcash 的工作量证明机制塞进了比特币白皮书,用它来保护分布式账本。当时大多数人只觉得这设计挺巧妙的,没意识到背后藏着个更深层的思想:让攻击成本高于防御成本,用经济学而非单纯的技术手段来构建安全。

没想到吧,这个思想如今以一种谁都没想到的方式杀回了网络安全领域。只不过这次,”算力”变成了 AI 推理的 token 预算,”挖矿”变成了漏洞扫描。

硅谷老兵 Alex Rampell 在2026年3月就预言过这事儿。他觉得 AI 时代的信息泛滥会让传统过滤手段全部失效,唯一可行的方案是重新引入工作量证明——用经济学约束对抗自动化滥用。说白了,当AI可以批量制造攻击的时候,你只能靠烧钱来防御。

04.

开源意外成为最大赢家

Breunig 的分析还带来了一个反直觉的结论:在这套新的安全游戏规则下,开源软件反而更香了。

逻辑其实不复杂:如果安全取决于投入的扫描 token 总量,那被 thousands 家公司共同使用的开源库,实际上是在薅所有这些企业的安全扫描预算的羊毛。Linux、OpenSSL 这些项目享受的是”集体加固”——成百上千家公司的 token 汇聚在一起,扫描密度远比任何一家公司自己写的闭源代码能获得的要高。

这跟 Andrej Karpathy 最近鼓吹的”用 LLM 重写依赖项、减少外部代码”恰恰相反。在工作量证明的安全模型下,信任经过集体加固的开源库,比自己造轮子更靠谱。 毕竟,你一个人烧 token,哪比得上千家万户一起帮你扫?

05.

但找到漏洞不等于修好漏洞

有个残酷的现实必须面对。Mythos 在测试里发现了超过1000个高危漏洞。到2026年4月,超过99%还躺在那里,没人动。

不是开发者故意摆烂。负责任的漏洞披露流程走下来至少要90天,而小团队能同时安全处理的补丁数量也就5到10个。AI 可以用机器的速度发现漏洞,但修漏洞这事儿还得靠人类的判断和企业的组织流程。发现漏洞的能力已经是工业级别了,修复漏洞的能力还在手工作坊阶段。 这个落差,才是眼下安全领域真正的卡脖子问题。

🎯 值得关注的点

 AI 驱动的自动化攻防正在加速,企业安全投入的门槛被大幅抬高

 开源生态反而因为”集体扫描”效应变得更安全,这和之前的认知是反转

 漏洞发现的成本在下降,但修复的瓶颈依然存在,99%的漏洞无人修补才是真正的雷

💭 最后

说到底,网络安全正在从聪明人的竞技场变成有钱人的氪金游戏。但换个角度想,这游戏规则至少是透明的——谁投入的资源多,谁就更安全。

对于大厂来说,这是护城河。 花得起钱烧 token 的,能获得更快的漏洞发现和修复能力。

对于付不起”算力税”的小团队和创业公司呢? 他们的安全该怎么办?这个问题,现在没人能给出标准答案。也许只能抱团取暖,依赖开源生态的集体力量。

💬 你怎么看这场”算力氪金”的游戏?

欢迎在评论区分享你的看法 👇