Claude Opus 4.8 找到一个 45 亿美元的 Bug，AI时代正在批量生产黑客

文|Sleepy

有人用 Claude Opus 4.8 找到了一个 Bug,让一个加密货币的市值蒸发了 45 亿美元。

事情的起点是一次安全审计。Zcash 是一个老牌隐私网络,用零知识证明来保护交易信息,Orchard 是它这套隐私交易能力的核心场所。

5 月 29 日,安全研究员 Taylor Hornby 在 Shielded Labs 委托的协议审计中,发现 Orchard 有一个严重漏洞,它能让攻击者凭空造出本不该存在的代币,也就是「无限增发」。

Zcash 随后在几天内完成紧急升级,官方确认了漏洞确实存在,但无法确认是否已经有人利用它增发过代币。6 月 5 日官方声明发布后,Zcash 暴跌 50%。

Anthropic 的 Opus 4.8 是 5 月 28 日发布的,第二天,这个漏洞就被发现了。

不是 Mythos,是 Opus

Zcash 的这个事件令人胆战心惊,不是 AI 强,而是它这一次强得太普通了。

在这之前,安全行业真正害怕的,是 Anthropic 的 Claude Mythos Preview。2026 年 4 月,Anthropic 公布过一份网络安全能力评估,说 Mythos Preview 在测试中能够识别并利用主流操作系统和浏览器里的零日漏洞,有些漏洞非常隐蔽,潜伏了十几年,其中一个 OpenBSD 的 bug 甚至可以追溯到 27 年前。

评估还说,一个没有安全背景的工程师,也可以让 Mythos Preview 通宵去找远程代码执行漏洞,第二天醒来,就能看到一套完整可用的攻击代码。

这意味着一种过去只有少数人能长期掌握的能力,正在变成任何人都可以随时调用的服务。这种能力本身没有立场,区别只在于谁在用、用来干什么。

Anthropic 自己也明白这点。所以它搞了 Project Glasswing,先把 Mythos Preview 交给少数组织,用来做防御性的安全工作。它也承认,这种级别的模型,需要更强的防护和更硬的使用约束,才能开放给所有人。

可在 Zcash 这件事里,技术人员手上用的并不是那个还锁着的 Mythos,而是已经发布、已经可用、已经进入普通人工作流的 Opus 4.8。

AI 进入安全领域,让小团队拥有了大团队的审计能力。它让维护者更快地找到 bug,也让攻击者更快地读懂系统。

而且,最危险的未必是最强的那个模型,而是那种足够强、足够便宜、又足够普遍的模型。

模型越普通,能拿起它的人就越多。于是问题不再是 AI 能不能找到漏洞,而是:当人人都能找,会发生什么。

当找 Bug 变成大众运动

AI 把漏洞发现变便宜之后,会出现两种东西。

一种是假的,大量看起来像模像样、实际经不起验证的安全报告。另一种是真的,过去藏在系统深处、需要专家花费几周甚至几个月才能找到的漏洞,也开始被更快地翻出来。

前者会淹没维护者,后者会击穿系统。更麻烦的是,它们会同时到来。

网络安全本来有一套理想叙事:白帽发现漏洞,负责任地披露,厂商修复,用户受益。

过去很多时候,世界确实是照着这套叙事运行的。可当 AI 把「发现漏洞」的门槛压低,当人人都能用公开的模型去找 bug,涌进来的,是大量想薅赏金、想刷声誉的人。他们中的很多人,只是复制一段提示词,让模型生成一份看起来挺像样的报告。报告不一定是真的。

但无论真假,维护者都得认真对待。

OpenSSF 在 2026 年 2 月开过一个关于「AI 垃圾报告」的讨论,专门研究开源维护者该如何应对低质量的、AI 生成的漏洞报告。curl 曾报告过,到 2025 年中,只有约 5% 的赏金提交是真漏洞,约 20% 看起来像 AI 生成的低质内容。OpenSSF 说,这种报告很像 DDoS,只不过它攻击的是人的注意力。

开源维护者不是客服中心。他们当中很多人没有工资,没有安全团队,也没有排班表。可一个项目又可能撑着世界上无数商业系统,那些靠开源省下巨额成本的公司,未必会给维护者付一分钱;可一旦出事,他们又都会回过头来问你为什么不早点修。

curl 后来关掉了漏洞赏金项目,因为人撑不住了。安全报告本来是防线的一部分,可当报告被垃圾内容灌满,这条防线就会反过来消耗守在后面的人。

AI 让更多人有了提交漏洞报告的能力,却没有让更多人有判断漏洞真假的能力。能让模型生成一份报告,不等于看得懂这份报告;能跑通一段验证代码,也不等于说得清它到底影响多大。

而更要命的是,我们其实就生活在一个真的能用 AI 找到无数漏洞的世界里。

我们过去的平安,是运气好

互联网给人最大的错觉,是能运行的东西就一定可靠。

手机能付款,地铁能扫码,医院能挂上号;云盘里甚至还存着你十年前的一张照片,你早忘了,它没忘。这些东西每天都在工作,于是我们默认它们一点问题都没有。人对技术的信任,很多时候不是信任,是懒得怀疑。

可代码像一座不停加盖的老楼,底下压着旧协议、旧库,上面摞着临时需求和「先上线再说」,顶层还堆着没人敢删的祖传代码。楼里的灯亮着,电梯还在上上下下,物业也说一切正常。可没人知道墙里有没有裂缝。

Heartbleed 就是个典型。OpenSSL 里的一个漏洞,让攻击者可以读取服务器内存里的私钥和密码,直到 2014 年才被发现并修复。在那之前,它已经潜伏了两年多,而当时全球超过六成的活跃网站都跑在受影响的服务器上。两年时间,大半个互联网几乎裸奔,没有人知道。

还有 sudo 的 Baron Samedit。2021 年 Qualys 披露它时指出,这个漏洞在 sudo 里已经存在了将近十年,而 sudo 是 Unix/Linux 世界最常用的权限工具之一。

类似的例子还有很多。把它们放在一起看,会忽然觉得,我们能安安稳稳地在互联网上冲浪到今天,其实也挺幸运。

为什么这些漏洞过了那么久都没被发现?

答案很简单:找漏洞的成本太高。

成本不只是钱,还有时间和耐心。要读代码、搭环境、理解协议、复现边界条件、写验证代码、判断影响面,还得分得清什么是误报。有时候程序跑一整晚没结果,一条路径试到头,发现根本走不通。现实里的安全研究员和黑客,常常就是在和一堆破碎的细节互相折磨。

过去很多漏洞能藏那么久,不是因为它们多神秘,而是因为愿意、有能力、又肯一直找下去的人,太少了。

AI 改变的,正是这个成本结构。

过去犄角旮旯太多,手电太少。现在手电开始批发了。

可同一支手电,照得见裂缝,也照得见可以下手的地方。它把「发现」变便宜的那一刻,就同时把「攻击」也变便宜了。一个人今天用它给开源项目交一份低质量报告,明天就能用同样的方法去扫一家公司的系统;今天惦记的是漏洞赏金,明天惦记的可能就是链上的资金。

正常上网的背后

真的出事之前,我们是感受不到「互联网安全」的存在的。

你打开支付宝,扫码,付款,到账,整个过程也许不到三秒。你不会想到背后有多少风控规则、设备指纹、行为识别、黑产对抗、漏洞响应和应急预案。

2026 年 5 月,蚂蚁安全响应中心 AntSRC 做了一个「猎手行动」漏洞奖励活动,测试范围覆盖支付宝、花呗、借呗、蚂蚁财富、网商、数科、蚂蚁国际等业务。对支付交易类、资金类、账单类产品里的高危、严重漏洞,最高给 5 倍奖励,可达 71500 元。

大厂其实也清楚,自己不可能只靠内部团队发现所有问题,所以必须把外部白帽组织进正式流程。安全更像一条很长的协作链:有人发现攻击,有人验证、定级、修复、发布,还得有人专门盯着别误伤了正常用户。这条链断掉任何一节都不行。

阿里云在 2025 年 10 月的安全态势报告里写到,云平台平均每天为客户防御攻击 62.45 亿次,封禁恶意 IP 2.75 万个;当月监测并拦截 DDoS 攻击 10.28 万次,峰值 2100 Gbps。

我们平时所谓的「正常上网」,其实是安全工程师们替我们从海量异常里抢出来的一条窄路。互联网从来不是安静的。

开源维护者没有预算、没有排班表、没有应急团队;大厂可以买到这些东西。但即使是大厂,也只能靠一条很长的人力协作链,把异常压到普通用户感觉不到的程度。

而这条又长又脆的协作链,是在 AI 还没大规模介入时就已经满负荷的。现在你再往里灌进成倍的漏洞、成倍的报告,防守这一端的人够吗?

找到漏洞之后,谁来修

ISC2 的 2024 年网络安全人才报告估算,全球实际在岗的网络安全从业者约 550 万,而人才缺口达到 480 万,同比增长 19%。它特别解释,这个「缺口」不是招聘网站上挂着多少职位,而是组织认为自己要被充分保护所需要的人,与现实可用人员之间的差距。

这组数字的意思很简单:漏洞很多,人不够。

而且不只是人头不够,是能干复杂活的人不够。ISC2 还提到,67% 的受访者说所在组织存在网络安全人员短缺,58% 认为这种短缺让组织面临显著风险。31% 的人说他们的安全团队没有入门级员工,15% 说没有 1—3 年经验的初级员工。很多组织不但缺人,还缺培养下一代人的管道。

这比招不到人更麻烦。招不到人,是今天的事;没有初级员工,是以后也招不到人。

国内的《AI 时代网络安全产业人才发展报告》也提供了一组数据:2025 年,受访的从业者里,46.2% 的人税前年薪在 20 万到 30 万元之间。市场愿意为中坚人才付钱,因为真正能处理复杂威胁、能在事故里做判断的人,实在太稀缺。报告还显示,56.5% 的从业者说,AI 让自己把更多重心放在了分析复杂威胁上,33.0% 表示正在从执行层转向策略制定。

这一点很关键。

我们现在最缺的,是那种能在半夜读懂一个漏洞、判断它影响多大、协调上下游、写出补丁的人。安全从来不是靠灵光一现的行当,它是脏活累活。把「网络安全」这个词拆开,里面只有误报、背锅、打不完的补丁、开不完的会,还有凌晨三点把你叫醒的那个电话。

鼠疫杆菌从未消失

加缪写过一本小说,叫《鼠疫》。

故事发生在北非一座普通的小城。瘟疫突然爆发,城门关闭,所有人被困在里面。日常生活一夜之间碎掉了。人们先是恐慌,后来麻木,再后来习惯。直到瘟疫终于退去,城门重新打开,街道上又有了欢声笑语。

加缪在小说的最后说:「据医书记载,鼠疫杆菌永远不会死绝,也不会消失,它们能在家具、衣服被子中存活几十年;在房间、地窖、旅行箱、手帕和废纸里耐心等待。也许有一天,鼠疫会再度唤醒他的鼠群,让它们葬身于某座幸福的城市,使人们再罹祸患,重新吸取教训。」

我一直觉得,这段话很适合拿来形容网络漏洞。

它不是在被发现那天才诞生的。它早就躺在代码里,过去没人听见它的呼吸,于是我们把安静误当成了安全。

我们已经习惯到不再怀疑的日常,它们全都跑在代码上。代码里有旧债,旧债过去不急着还,是因为催债的人少。AI 来了以后,催债的人忽然多了。

可怕的不只是黑客会变多。在系统的另一边,处理问题的人没有按比例变多。

这就是 AI 安全时代最挣扎的地方。能力会自己扩散,责任不会;发现一个漏洞越来越便宜,修好它却还和从前一样贵。破坏可以被脚本复制无数遍,信任却只能一个系统、一个团队地慢慢攒回来。

AI 不会一夜之间把互联网摧毁。它做的事更像是把灯打开了。我们终于看见,数字生活从来不是一种自动运转的自然秩序,而是一群人日复一日地把风险压低到我们感觉不到的程度。

以后真正昂贵的,不是找到漏洞。而是还有没有足够多的人,愿意把漏洞一个接一个地修完。