夜雨聆风
一、1500 美元,他买了什么
先把 Kasra 的实验说清楚——他做的是一件非常具体的事。
他建了一个故意写得不安全的应用:前端是 React Native(Expo 打包的 Android APK),后端是 Python 写的 FastAPI,数据库用的 Firebase Firestore。表面上 API 本身做得很扎实:身份认证、参数校验、限流,OWASP Top 10 里能打的勾基本都打了。
真正的漏洞在 Firebase。APK 里打包了一个 `google-services.json`,里面包含 Firestore 的项目密钥和读权限配置。任何拿到这个文件的人,都可以直接用 Firebase 客户端 SDK 注册一个账号,然后越权读出别的用户的私有评论。
Kasra 把这个 bug 类命名为「API 看着安全,Firebase 完全敞开」——业内把它叫做 Broken Access Control 或者 Missing Object-Level Authorization。他在博客里写得很直白:
> "This is the exact same category of exploit that commonly affects Firebase and Supabase apps, I have seen this exact case in the wild."
这不是他凭空构造的题。这是一类真实项目里反复出现的洞。
然后他把这套应用打包成 ZIP(APK + 任务说明),喂给 9 个不同的大模型,让每个模型在 10 美元预算、2 小时时长、temperature 0.7、高强度推理的条件下,独立尝试找到那条 flag——一个普通用户的私有评论。
10 次完整跑下来 9 个模型,3 个跑不满 10 次的模型,再加几个"便宜的扫一眼"的,总共花掉 1500 美元。
这 1500 美元里,有一半是失败和中断的 run——他在博客里特别标了出来,因为如果你按 10 次成功跑完算成本,账面会漂亮得多。他把这一半没跑成功的钱也算进去,这是他做这件事最让人尊重的地方。
二、钱包账本:每一美元都换回了什么
我把 Kasra 给的数据重新排了一张表,去掉那些没跑满 10 次的,把重点放在"如果一个普通开发者想用 AI 复现他这套工作流,10 次完整跑他要花多少钱、命中一次要花多少钱"。
这张表里有几件值得反复看的事。
第一,命中率的差距,远大于成本的差距。
GPT 5.5 是 70%,DeepSeek V4 Pro 是 30%,看起来是 2 倍多。但成本端,DeepSeek 命中一次只要 $0.62,Claude Sonnet 命中一次要 $45.75——差 70 倍。
如果你是一个想把 AI 安全测试塞进 CI 流水线的小团队,用 Claude Sonnet 跑 10 次你愿意付的钱,能让 DeepSeek 跑 700 次。但你不能简单换算成"用 DeepSeek 就对了"——DeepSeek 的方差更大,他 10 次里有 5 次根本没意识到该看 Firebase。
第二,几家头部大厂的主模型,在这件事上是 0 分。
Gemini 3.1 Pro Preview 是 0/10,中位 token 9000——模型几乎一上手就拒答。Gemini 3.5 Flash 也是 0/10,先拒答两次,第三次才开始尝试。
这种"启动期拒答"对开发者的实际意义是:你没办法把这类模型当成自动审计工具塞进流水线。它不是偶尔失败,它是默认拒绝。
第三,便宜的模型不一定省钱。
Kasra 在博客最后那段非常冷静地列了一笔账:Qwen 3.7 Max 0/6,每次跑 730 万 token;GLM 5.1 1/4 命中一次 $34.73。模型说"我很便宜",但它一通乱试起来,烧的是 token 不是钱。
对开发者来说,1500 美元换回来的不是"哪个模型最会 hack",是一份"每个模型在做什么样的事"的对照表。
三、谁在认真 hack,谁在装忙
这件事最有意思的地方不在账单,在模型怎么试。
Kasra 跑完所有模型之后有一段总结,写得非常工程师:
> "The Chinese models were way more comfortable attacking the data store, the other models got momentarily spooked, with blips of 'This would affect the live data so I'm not going to do that.'"
翻译一下:中国的几家模型(DeepSeek、GLM、Qwen、某AI公司)一上手就冲着数据库去,欧美系的几家会停下来自我审查。
具体到行为,差距是这样:
DeepSeek V4 Pro:5 次根本没去碰 Firebase,5 次直接攻击数据库,3 次跑通。但其中有 2 次明明已经摸到了 Firebase 这条路,却错把它当成 API 的一个认证机制去试,方向跑偏。
Claude Sonnet 4.6:先按部就班审 API 和 React Native 前端,审到一半才拐到 Firebase。有 5 次其实已经在正确的路上,但因为 10 美元预算耗尽而中断。
Claude Opus 4.8:2 次差点做对,但触发了安全护栏中途被截断—Kasra 用了"late refusals"这个词,意思是不是一开始就拒,是跑到一半突然回过神来拒绝。
某AI公司 M2.7:10 次全 0 分。它一上来就认定问题在 API 和 RN 应用里—和 DeepSeek 第一次跑的方向正好反过来。
Step 3.7 Flash:把 API 审得很漂亮,还自信地报告说"我找到漏洞了"——但其实没找到。假阳性。
这段对比让我想起自己刚做安全审计那两年的事。
当时我以为"模型越贵越会 hack"。Kasra 这张表直接打掉了这个假设——Sonnet 命中一次的边际成本是 $45.75,DeepSeek 是 $0.62,命中率反倒是后者更高。
Sonnet 贵不是因为它更会 hack,是因为它"很认真地 audit 完之后再 hack",把"查证"和"动手"分得很清。这件事对合规场景是优点,对想自动化批量跑安全扫描的开发者是缺点。
四、1500 美元背后真正在发生什么
我写到这里停下来想了一会儿。
Kasra 的博客最后那段,是这样写的(我直译大意):
> "我应该把这笔钱花在别的事上。我本来可以用它来上线一个自己的真实项目。"
这句话被很多人截图转发了。但我看到的是另一层。
1500 美元在开发者社区里是一个特殊数字——差不多是一个独立开发者用来上线一个 SaaS MVP 的全部预算,或者一个早期创业团队两周的云资源。Kasra 拿这个钱做了一次公开的"AI 安全测试成本基准"。
这件事之所以值得被讲清楚,是因为它暴露了一个被很多人回避的事实:
开源 AI 安全工具越强,开发者自己产品的安全责任就越模糊。
具体怎么说——
一年前,开发者对自家应用的渗透测试,要么自己写脚本,要么买 Burp Suite Pro + 自己挖,要么请咨询公司按工时报价。一年前的开源工具栈大概是 OWASP ZAP + sqlmap + nmap,人写的脚本决定一切。
到 2026 年,工具栈里多了 9 家大模型。
你可以让 Sonnet 跑一遍你的应用做安全审计——但如果它中途触发了 late refusal 没完成,你的责任在它还是在你?
你可以让 DeepSeek 跑 10 次找漏洞——但它有 5 次根本没看 Firebase,你不知道它到底看了哪里?
你可以让 GPT 5.5 上手 7/10 命中——但当它真的攻破你自己的应用时,这条审计记录的证据效力是 OpenAI 帮你签的还是你自己签的?
这些问题的共同点是:钱花了,但责任没洗干净。
Kasra 在博客里写到他 OpenAI 账户是因为"已批准用于安全研究",所以 GPT 5.5 才没有拒答。他拿到了 OpenAI 的许可。但绝大多数普通开发者的应用场景里,这条许可链是断的。
五、给普通开发者的三件具体的事
写到这里,我想给所有看这篇文章的开发者(包括我自己)留三件具体的事。
第一件事:别用模型对自家线上生产环境直接做安全扫描。
除非你拿到了模型提供方的明确书面授权——类似 OpenAI Security Researcher Program 那种。否则模型对生产库的直接读写操作,可能触发合规问题,也可能在最坏的情况下被模型本身判定为"攻击真实用户"而中途拒绝。
你应该在隔离环境里跑。Kasra 这件事能跑下去,他专门搭了 Modal 上的隔离 runner(中间还吃了 10% 的 preemption,AWS 的话会少很多坑——这是他的原话)。
第二件事:把 AI 安全审计的结果当成"开发者的工具",不是"开发者的责任挡箭牌"。
如果 AI 没找到你应用里的漏洞,不代表你应用里没有漏洞。Gemini 3.1 Pro 拒答、Step 3.7 Flash 假阳性、某AI公司 M2.7 方向跑偏——每一个 0 分都是一份"模型不可靠"的公开证词。你自己心里得有这把尺。
第三件事:真要花 1500 美元做这件事,先想清楚它值不值。
Kasra 自己都说了,他可以拿这钱上线一个自己的真实项目。对一个普通开发者来说,"用一个真金白银的应用去练手"的安全反馈密度,比"跑 10 次模型让它们试"更高。
这件事不是让你别用 AI 做安全测试。AI 安全测试是有用的,但它的成本结构、它的责任分配、它和合规链条的衔接方式——这三件事都还在被行业摸索。
结尾
Kasra 那篇博客底下,最高赞评论是一位做安全的独立开发者写的:
> "Thanks for sharing real numbers. We're still in the Wild West of AI for security testing."
我同意"狂野西部"这个判断。
但我想补半句:狂野西部的真问题不是"哪支枪更准",是"谁该为走火负责"。1500 美元买不到这个问题的答案。买得到的,是"别去碰那个还没人接的责任区间"。
这是 2026 年 AI 安全测试的真实处境。
也是为什么我关掉了写了一半的脚本项目。
—— 九天青年工作室
