AI Agent 4小时攻破 FreeBSD——我们离"自主黑客"还有多远？

周末刷到一条消息，愣了好一会儿。

一个基于 Claude 的 AI Agent，在没有任何人类指导的情况下，4个小时攻破了 FreeBSD。不是找到一个简单的配置漏洞，是发现了一个内核级别的零日漏洞（CVE-2026-4747），劫持内核线程，通过网络数据包写入 Shell 代码，最终拿到了 Root Shell。

全程自主完成。零人类干预。

FreeBSD 不是什么小众系统——Netflix 的流媒体基础设施跑在上面，PlayStation 的网络服务跑在上面，WhatsApp 的后端也跑在上面。这不是一个"玩具级"的安全演示。

说实话第一次看到这个消息的时候，我以为是假新闻。

但仔细想想，其实逻辑是通的。安全研究的核心工作是什么？大量阅读代码、理解系统架构、假设攻击路径、逐一验证。这些都是 LLM 擅长的事情。把这些能力包装进一个能自主执行命令的 Agent 里，它做的事情和一个高级安全研究员没有本质区别——只不过它不需要喝咖啡、不需要睡觉、不会在第 8 小时开始犯困。

以前一个安全团队找到这种级别的内核漏洞需要几周甚至几个月。现在一个 Agent 花了 4 小时。

这件事有两面。

乐观的一面：如果好人（白帽子）也用同样的 Agent，那么漏洞发现的速度会大幅提升。操作系统、基础设施软件的安全性反而可能因此提高——因为漏洞会被更快地发现和修补，而不是在那里等着被真正的攻击者利用。

恐怖的一面：工具是中性的，但使用工具的人不是。以前搞内核级攻击的门槛极高，全世界能做的人可能不超过几千个。现在有了 AI Agent，这个门槛被拉到了"会写 prompt"的水平。

我个人倾向于"攻防一体"的观点。封锁 AI 的安全研究能力不现实——你限制 Claude 不做安全分析，开源模型照样能做。与其堵，不如让防守方也用上同等级的 AI 工具。

但有一个前提：AI 安全攻击能力的进展速度，得和防御工具的发展速度匹配。如果攻击 Agent 的能力每半年翻一倍，防御 Agent 的能力一年才翻一倍——那中间的窗口期就是灾难。

这让我想起我之前研究过的一个观点：AI 安全的终极形态不是"人类防御 AI 攻击"，而是"AI 防御 AI 攻击"。人类的角色会从"安全工程师"变成"安全策略制定者"。

4 个小时攻破 FreeBSD。这不是未来，这是上周末发生的事。