2283 美元与 20 小时：Claude Opus 4.6 写出 Chrome Bug 利用链，AI 降低黑客攻击门槛

2283 美元与 20 小时：Claude Opus 4.6 成功写出 Chrome Bug 利用链，AI 降低黑客攻击门槛

如果你在网络安全圈，最近肯定被 "Mythos" 刷屏了。Anthropic 研发出一个能挖 Bug 的 AI 模型，但因担心被坏人滥用，未公开发布。

听起来像科幻大片开场？其实真正的情况更 "接地气"。就在 Mythos 还在实验室时，它的 "前辈"Claude Opus 4.6，已在一位 CTO 的指挥下，成功写出针对 Chrome 的完整 Bug 利用链，代价是 2283 美元（约合人民币 1.5 万元）的 API 费用和 20 小时的 "保姆式" 指导。

这次实验的主角不是 Mythos，而是 Claude Opus 4.6。实验由 Hacktron CTO、研究员 Mohan Pedhapati（网名 s1r1us）发起。他选择当时已公开的 Claude Opus 4.6，而非传闻中的 Mythos，且这个版本后来还被 Opus 4.7 取代，用的是普通用户能接触到的现成模型。

他将目标锁定在常用软件 Discord，原因是 Discord 桌面端基于 Electron 构建，自带 Chromium 内核，但使用的 Chrome 版本明显落后。当时，Discord 运行的是 Chrome 138，而官方 Chrome 已更新至 147，落后 9 个大版本。在安全领域，这样的版本差距意味着已修复的 Bug 可能仍在用户电脑里 "裸奔"。

之后，Pedhapati 打开 Anthropic 的 Claude Opus 4.6，让其写一段攻陷老旧 Chrome 的代码。但过程并不轻松，他表示 "来回折腾一周，消耗 23 亿 token，历经 1765 次请求，花 2283 美元 API 费用，还花约 20 小时把它从死胡同拽出来"。最终成功弹出系统计算器（pop calc），"弹计算器" 在 Bug 利用圈意味着获得执行任意命令的能力，即系统被拿下。

一周内 AI 做了什么

根据 Pedhapati 博文，他让 Claude Opus 4.6 执行的任务分三步：

• 从补丁里找 Bug 机会：先整理 Chrome 138 到 Chrome 147 间公开修复的大量 CVE，让模型分析哪些补丁涉及 V8 引擎、哪些改动可能对应可利用 Bug、哪些更适合构造越界读写能力。这步最耗 Token，Claude Opus 4.6 尝试几十种思路，不少有希望的 Bug 最后都失败了。
• 构造越界访问能力（OOB）：最终选中 V8 越界读写 Bug（编号 CVE - 2026 - 5873，修复于 Chrome 147 版本）。Claude 根据公开 patch 信息，反推出触发逻辑，构造出可工作的 OOB（Out - of - Bounds）原语，即让程序访问 "不该访问的内存区域"，为控制程序做铺垫。
• 绕过保护机制，拼成完整攻击链：现代浏览器有隔离与沙箱机制，不会因一个越界 Bug 被轻易攻破。Pedhapati 让模型拼接第二阶段 Bug 绕过 V8 保护边界，最终拿到任意代码执行能力。几天后，完整 Bug 利用链成功跑通。

2283 美元贵吗

你可能觉得花两千多美元弹计算器很奢侈，但 Pedhapati 算了笔账：

• 人类安全研究员不靠 AI 辅助，独立开发类似漏洞利用链通常需数周专注工作。
• 就算把他 20 小时 "保姆时间" 算几千美元，总成本仍比 Google 和 Discord 漏洞奖励计划的奖金（约 15000 美元）低得多。
• 黑市匿名买家出价更高，有人私信愿出官方赏金 10 倍价格。

不过，Pedhapati 也指出目前模型不完美。Claude 在实验中常出问题，如卡在错误方向、上下文太长忘记之前操作、靠猜测写 exploit、"作弊式完成任务" 等。有一次，Claude 绕过找 Bug 步骤，直接调用系统命令弹计算器。这说明大模型还需专业人员盯着、纠偏、提供调试反馈，Pedhapati 的 20 小时基本都花在解决这些问题上。

但令人担忧的是，即便模型笨拙，仍能成功。若下一代模型上下文更长、推理更稳、自动化更强、成本更低、人类介入时间减少，黑客攻击门槛将持续下降。过去，攻击者分析安全补丁找 Bug 原理、写利用代码需不少时间；如今，AI 可加速该流程。Pedhapati 认为，AI 模型在 Bug 利用开发上越强，补丁空窗期会越短，"每个补丁本质上都是一个 Bug 提示"。

这对开源项目尤其麻烦，修复 commit 在代码仓库公开，但稳定版发布晚，大量用户未升级，这个时间差可能成为 AI 主战场。为此，Pedhapati 给开发者建议：代码 push 前重视安全审查；维护关键依赖版本清单；安全补丁自动应用；开源项目公开 Bug 细节要谨慎，因为每个公开的 commit 都是 "发令枪"。

Mythos 是否强大不重要

外界讨论 Anthropic 不公开 Mythos 是否过度营销、夸大威胁，Pedhapati 认为这不重要。这次实验表明，即使 "最强模型" 未开放，现有公开模型也能改变攻防格局。他说："Mythos 是不是被吹过头不重要，这条曲线没变平。就算不是 Mythos，也会是下一个版本。迟早有一天，有耐心、有 API key 的脚本小子都能在没打补丁的软件上弹 shell。问题不是会不会发生，而是什么时候发生。"

真正的转折点可能不是 "超级黑客 AI" 出现，而是从现在开始，exploit 开发更快、Bug 分析更便宜、未更新软件更危险。这次花 2283 美元和一周时间，下次可能只需几十美元和一杯咖啡的时间。