正当安全社区尚在争论 AI 代理能否在真实设备上完成自主渗透时,研究人员已经给出了令人警醒的答案。2026 年 4 月,专注于 autonomous security research 的团队 Calif 披露了一次完整攻击演示:OpenAI 旗下的 AI 代理 Codex 在没有任何人工干预的前提下,从浏览器入口一路获取了 Samsung Smart TV 的 root 权限,整个过程仅依赖目标设备的公开漏洞与系统错误配置。这一案例不仅揭示了 Tizen 操作系统在权限模型上的严重缺陷,更为 IoT 安全防御敲响了警钟 —— 攻击者的工具箱正在被 AI 重塑,传统的渗透测试边界正在被快速突破。
攻击链全景:从浏览器到物理内存的跨越
Codex 的攻击路径展现了一种教科书级别的 IoT 渗透流程。初始入口并非什么高深漏洞,而是用户在智能电视上再普通不过的浏览器应用。研究人员让 Codex 操控一个运行在 TV 上的浏览器实例,AI 代理自主识别出该浏览器的沙箱隔离机制存在边界缺陷,能够发起有限程度的本地代码执行 —— 这在 Tizen 的早期固件版本中并非孤例。获得浏览器进程内的代码执行能力后,Codex 并没有像传统渗透测试那样寻找下一个应用层漏洞,而是直接把目光投向了内核驱动层。
在 Tizen 系统中,设备驱动通过 /dev 节点向上层用户提供接口。Codex 发现了一个关键目标:/dev/ntksys。这个设备节点对应的是 Tizen TV 内核中的一个驱动程序,负责提供物理内存映射功能。然而,系统对该节点设置的 udev 规则权限为 0666,即任何本地进程 —— 即便是非特权用户 —— 都拥有对该设备的读写权限。这种过于宽松的权限配置在桌面 Linux 系统中尚属大忌,在封闭的嵌入式固件中更是致命缺陷。
接下来发生的一切体现了 AI 代理的自主推理能力。Codex 识别出 /dev/ntksys 允许用户空间程序注册一个物理地址,并将其映射到进程虚拟地址空间中,而驱动并未对这一地址范围进行严格校验。这意味着攻击者可以指定任意物理内存区域,包括内核所在的内存区间。通过反复枚举物理内存布局,Codex 定位到了浏览器进程对应的凭证结构,并将其中的用户 ID 字段修改为 0(root 用户的 UID)。由于 Linux 权限模型中 UID 0 拥有系统最高权限,这一修改使得原本运行在浏览器进程中的代码瞬间具备了 root 能力。整个权限升级过程不依赖任何内核漏洞,仅利用了权限配置错误和物理内存映射原语。
获取 root 权限后,Codex 进一步将攻击范围扩展到局域网。根据披露的报告,root 状态下的 TV 可以绑定的网络接口和监听端口数量大幅增加,攻击者能够以此为跳板,对同一局域网段内的其他 IoT 设备发起横向扫描与渗透。智能电视通常处于家庭网络的中心位置,连接着 NAS、智能音箱、路由器等设备,一旦被攻陷,整个家庭的数字资产都暴露在攻击者面前。
Tizen 权限模型的结构性缺陷
Tizen 作为 Samsung 基于 Linux 构建的跨设备操作系统,覆盖了智能手机、可穿戴设备、智能电视和部分 IoT 硬件。Calif 的研究并非首次揭示 Tizen 的安全问题 —— 此前安全社区已经发现该系统累计存在超过 40 个零日漏洞,涉及缓冲区溢出、弱加密实现、命令注入等多个类别。但 Codex 攻击链的独特之处在于,它展示了一种 “低技术门槛” 的攻击路径:不需要挖掘新的内核漏洞,不需要复杂的绕过技术,仅凭一个 world-writable 的设备节点和物理内存映射功能,就实现了从普通应用到 root 的跨越。
问题的根源在于固件开发过程中的安全意识缺失。0666 权限意味着系统设计者可能在调试阶段为了便利而打开了该节点的访问权限,却未在正式发布前将其收紧为仅限特权进程访问。在传统的嵌入式开发流程中,驱动开发者往往依赖硬件文档和供应商提供的参考代码,缺乏对权限最小化原则的充分理解。此外,Tizen 系统在设备驱动层面的输入验证同样存在盲区:驱动接受用户传来的物理地址后,未检查该地址是否落在合法范围内,也未验证调用者是否具备相应特权,直接执行了映射操作。这种 “来者不拒” 的设计逻辑在面对恶意用户空间代码时毫无招架之力。
从攻击者视角来看,Codex 的成功揭示了一个更令人不安的趋势:AI 代理不需要安全研究员的领域知识储备,就能自主完成漏洞发现和利用链条的搭建。传统的渗透测试需要人工分析固件、逆向驱动逻辑、编写漏洞利用代码,而 Codex 能够在给定目标后自行枚举系统接口、识别异常配置、构造攻击载荷。这一转变意味着,未来针对 IoT 设备的自动化攻击门槛将大幅降低,任何掌握 AI 工具的攻击者都可能发起类似攻击。
可落地的防御方案与监控参数
面对 AI 驱动的自动化攻击,防御侧的思路必须从 “拦截已知漏洞” 转向 “收紧系统边界”。以下是针对智能电视及同类 IoT 设备的具体加固参数与监控建议:
第一,权限与设备节点硬化。 所有 /dev 目录下的设备节点权限必须遵循最小权限原则,尤其是涉及内存映射、硬件寄存器访问的驱动接口。关键命令如下:使用 chmod 0600 /dev/ntksys 将设备节点权限从 world-writable 收紧为仅 root 可访问;检查 /etc/udev/rules.d/ 目录下的所有规则文件,确认不存在 0666 或 0777 权限的内存相关设备节点;对于必须保留调试接口的场景,使用设备所有者组并通过 chown 分配给特定系统服务账户。
第二,网络分段与 VLAN 隔离。 智能电视不应与核心业务设备处于同一网络平面。建议将 TV 置于独立的访客 VLAN 或 IoT 专用子网,使用防火墙规则阻断 TV 到内网关键资产的访问(如 NAS 的 445/139 端口、路由器管理界面、办公设备 SMB 服务)。家庭场景下,可通过支持 VLAN 的路由器将 IoT 设备统一划分到 192.168.x.0/24 段,与主网络 192.168.y.0/24 完全隔离。
第三,固件更新与漏洞情报订阅。 Samsung 定期发布 Tizen 安全更新,需在设备设置中开启自动更新或至少每季度手动检查一次固件版本。关注 Samsung Security Bulletin 和 Bishop Fox 等安全机构发布的 Tizen 漏洞报告,建立响应流程。建议关键参数:固件版本低于对应机型最新安全补丁版本超过 90 天即触发风险告警。
第四,开发者模式与调试接口禁用。 Samsung TV 提供开发者模式用于侧载应用,但该模式会开启额外的网络监听端口和 ADB 调试接口。建议在非必要场景下始终关闭开发者模式;如必须使用,配置 IP 白名单仅允许受控开发机访问,并在使用完毕后立即关闭。检查设备是否存在未知监听端口:netstat -tulpn | grep LISTEN,重点关注 5555(ADB)、8080、9000 等常见调试端口。
第五,日志审计与异常行为检测。 在网关或路由器层面部署流量镜像,监控 IoT 设备的网络行为基线。异常指标包括但不限于:设备突然开始对外发起大量连接(尤其是扫描行为)、非预期端口的出站流量、来自同一设备的频繁 DNS 解析请求(可能为 C2 通联准备)。可使用 Suricata 或 Zeek 对镜像流量进行协议解码,设置规则告警 alert tcp $HOME_NET any -> $EXTERNAL_NET $HIGH_PORTS 配合速率阈值。
第六,物理安全与供应链审查。 对于企业或高安全场景,智能电视的物理接口(USB、HDMI、RJ45)应纳入资产管理。定期使用工具检查固件哈希是否与厂商发布值一致,防范供应链篡改风险。敏感场所建议禁用电视的的网络功能或直接物理断网。
小结
Codex 自主渗透 Samsung TV 的案例证明,AI 代理已经具备了独立完成 IoT 设备攻击链的能力,而无需依赖人工介入。Tizen 系统中一个看似不起眼的 0666 权限配置错误,最终成为攻击者实现 root 横向的关键跳板。对于安全从业者而言,这意味着防御体系的审视维度必须进一步扩大:从应用层漏洞扩展到系统权限配置,从单点设备安全扩展到网络拓扑与访问控制。任何一台接入网络的智能终端,都可能成为 AI 攻击者的突破口,而留给防御者的窗口,正在随着 AI 技术的演进而急剧收窄。
资料来源: 本文的攻击链细节主要引自 Calif 研究团队 2026 年 4 月发布的《Codex Hacked a Samsung TV》分析报告,该报告详细披露了 /dev/ntksys 设备的 world-writable 权限问题与物理内存映射利用过程。Tizen 历史漏洞背景参考了 Bishop Fox 对 Samsung Tizen OS 9.0 版本的安全评估。