从漏洞发现到攻击链重构的范式转变
传统威胁情报工作流依赖于人工逆向工程与样本分析,安全研究员需要逐行审计代码或调试二进制文件以理解攻击路径。Anthropic 于 2026 年 4 月发布的 Project Glasswing 及其核心模型 Claude Mythos Preview,展示了 AI 自主完成攻击链重构的可能性 —— 该模型在数周内发现了数千个零日漏洞,覆盖所有主流操作系统与浏览器,其中包括潜伏 27 年的 OpenBSD TCP SACK 实现缺陷和 16 年历史的 FFmpeg H.264 编解码器漏洞。
这一能力跃迁的核心在于攻击链自动化重构:Mythos Preview 不仅能够识别孤立漏洞,更能自主链接多个弱点形成完整利用路径。例如,在 Linux 内核测试中,模型独立发现并通过链式组合多个漏洞(包括 KASLR 绕过、越界读写、堆喷射等原语),最终构造出从普通用户到 root 权限的完整提权链。这种从 "单点漏洞识别" 到 "全链路利用构造" 的跨越,标志着威胁情报工程方法的根本性变革。
工程化漏洞发现框架
Project Glasswing 采用了一套标准化的Agentic Scaffold架构来支撑规模化漏洞挖掘。该框架的核心组件包括:
隔离执行环境:每个测试任务运行在独立容器中,与互联网及其他系统隔离,仅暴露待测项目的源代码与编译产物。这种设计既保障了测试安全性,也为 AI 提供了可控的代码交互环境。
智能文件优先级排序:为避免在数百万行代码中盲目扫描,系统首先让模型评估每个文件的漏洞可能性(1-5 级评分)。1 级文件仅包含常量定义,5 级文件则处理网络输入或用户认证逻辑。这种分级机制使计算资源集中于高风险代码路径,显著提升发现效率。
自动化验证管道:所有疑似漏洞通过 Address Sanitizer 等工具进行验证,确保崩溃可被复现。在针对 Mozilla Firefox 的测试中,模型提交的 112 个漏洞报告经 ASan 验证后全部确认为真实漏洞,零误报。
人机协同分级披露:发现的高危漏洞首先由人工安全专家进行严重性复核,再按协调漏洞披露(CVD)流程提交给维护者。当前统计显示,模型对漏洞严重性的评估与人工专家的一致性达 89%,98% 的案例偏差不超过一个等级。
攻击链重构的技术路径
Mythos Preview 的攻击链重构能力体现在其对漏洞原语(Exploit Primitives)的组合运用。以 Linux 内核本地提权为例,模型展示了典型的多阶段攻击构造:
阶段一:信息泄露原语。利用越界读漏洞获取内核内存布局信息,绕过 KASLR(内核地址空间布局随机化)防护。KASLR 通过随机化内核代码与数据地址阻止盲写攻击,但通过读取特定内核结构(如中断描述符表),攻击者可计算出内核基址。
阶段二:内存损坏原语。结合 UAF(Use-After-Free)或堆溢出漏洞获得可控的内存写能力。模型利用跨缓存回收(Cross-Cache Reclaim)技术,通过精心设计的内存分配 / 释放序列,将目标对象替换为攻击者控制的数据。
阶段三:权限提升原语。通过覆盖任务结构体中的凭证信息(cred 结构)或劫持函数指针实现提权。在一个案例中,模型构造了伪造的 qdisc 调度器对象,使其被内核解释为特权凭证结构,最终通过commit_creds()调用获得 root 权限。
这种分阶段、可组合的漏洞利用方法论,使得 AI 能够像人类专家一样 "堆叠" 多个低危弱点以达成高危后果。
浏览器沙箱逃逸的复杂链构造
在浏览器安全领域,Mythos Preview 展示了更为复杂的攻击链构造能力。现代浏览器采用多层防御:渲染进程沙箱、JIT 编译器硬化、操作系统级隔离等。模型通过链接四个独立漏洞,构造了从 JavaScript 执行到操作系统内核控制的完整逃逸链:
- JIT 堆喷射:利用 JIT 编译器的动态代码生成特性,在内存中布置可预测的机器指令布局
- 渲染器进程突破:通过类型混淆或越界访问获得渲染进程的任意代码执行
- 沙箱逃逸:利用 IPC 机制或内核驱动漏洞突破浏览器沙箱边界
- 本地提权:链接操作系统内核漏洞获得系统级控制权
这种多阶段攻击链的自动化构造,意味着防御方需要重新审视基于 "摩擦式" 缓解措施(如 ASLR、堆栈保护)的安全策略 —— 当 AI 能够快速遍历大量组合可能性时,仅依赖增加攻击难度的防御手段可能不再充分。
防御规则生成的工程实践
从威胁情报到防御规则的转化,Project Glasswing 提供了可落地的工程参考:
基于代码模式的静态规则:针对已识别的漏洞类别(如整数溢出、越界访问、UAF),生成对应的静态分析规则或代码审查清单。例如,针对 OpenBSD SACK 漏洞中的有符号整数溢出,可建立 "TCP 序列号运算需显式检查溢出" 的编码规范。
运行时检测策略:针对攻击链中的关键原语,设计监控点与告警阈值。例如,监控内核中异常的内存分配模式(跨缓存回收行为)、或浏览器进程中可疑的 JIT 代码生成频率。
补丁优先级算法:结合漏洞可利用性评分(Exploitability Score)与资产重要性,自动化生成补丁部署优先级队列。模型对漏洞严重性的高一致性评估,为自动化分级提供了数据基础。
威胁狩猎查询:基于攻击链特征构造检测查询,如 "同一源 IP 在短时间内触发多个不同服务的异常行为" 可能指示自动化漏洞扫描活动。
对防御方的实践建议
Project Glasswing 的发布揭示了 AI 辅助攻击能力正在快速平民化。对于防御团队,以下工程实践值得优先采纳:
缩短补丁周期:N 日漏洞(已披露但未广泛修复的漏洞)到可利用代码的转化时间已从数周压缩至数小时。启用自动更新、将 CVE 修复的依赖升级视为紧急任务而非例行维护,成为降低暴露窗口的关键。
前置化漏洞发现:即使当前公开模型尚不具备 Mythos 级别的利用构造能力,其漏洞发现能力已足够实用。在 CI/CD 管道中集成 AI 代码审计,可在部署前捕获大量潜在弱点。
重构纵深防御策略:评估现有缓解措施是否属于 "仅增加摩擦"(如某些堆栈保护变体)而非 "硬性屏障"(如 KASLR、W^X)。针对 AI 辅助攻击者,后者更具防御价值。
自动化事件响应:随着漏洞披露量激增,人工处理将不堪重负。模型应承担起告警分级、事件摘要、证据收集等技术性工作,使人类分析师聚焦于决策与溯源。
结语
Project Glasswing 展示的不仅是 AI 在漏洞研究中的能力边界,更是威胁情报工程方法的演进方向 —— 从人工逆向到自动化攻击链重构、从孤立 IoC 到漏洞原语组合分析、从被动响应到前置化防御规则生成。这一转变要求安全团队重新设计工具链、流程与人员技能结构。正如项目公告所言:"攻击窗口已经崩塌 —— 过去需要数月的过程现在可能在几分钟内发生。" 防御方的应对速度,将决定 AI 驱动安全时代的最终格局。
参考来源
- Anthropic Project Glasswing 官方公告 (anthropic.com/glasswing)
- Claude Mythos Preview 技术报告 (red.anthropic.com/2026/mythos-preview/)
内容声明:本文无广告投放、无付费植入。
如有事实性问题,欢迎发送勘误至 i@hotdrydog.com。