微软Azure CTO用Claude分析1986年苹果II代码发现安全漏洞

微软Azure首席技术官Mark Russinovich表示，AI能够逆向工程机器码并在古老的遗留架构中发现漏洞，他用自己40年前编写的苹果II代码作为例证。

Russinovich写道："我们正进入一个自动化、AI加速漏洞发现的时代，这将被防御者和攻击者共同利用。"

1986年5月，Russinovich为苹果II个人电脑编写了一个名为Enhancer的实用程序。该程序用6502机器语言编写，增加了在GOTO、GOSUB或RESTORE命令中使用变量或BASIC表达式作为目标的功能，而未经修改的Applesoft BASIC只接受行号。

Russinovich让上个月初发布的Claude Opus 4.6检查这段代码。它反编译了机器语言并发现了几个安全问题，包括一个"静默错误行为"案例：如果找不到目标行，程序会将指针设置到下一行或程序末尾，而不是报告错误。修复方法是检查进位标志，如果找不到行则设置该标志，并跳转到错误处理。

Claude在40年前的苹果II输入代码中发现漏洞

苹果II输入代码中存在的漏洞只具有娱乐价值，但AI反编译嵌入式代码并发现漏洞的能力值得关注。有评论者对Russinovich的帖子回复说："全球存在数十亿个遗留微控制器，其中许多可能运行着像这样脆弱或审计不充分的固件。"

当Anthropic推出Claude Opus 4.6时，该公司对AI快速发现可被黑客利用的漏洞问题发出警告。

负责提高公众对AI风险认识的红队表示："当我们将Opus 4.6应用于一些经过最充分测试的代码库（这些项目已经运行模糊测试多年，累计数百万小时的CPU时间）时，Opus 4.6发现了高严重性漏洞，其中一些几十年来都未被发现。"

红队建议"这是快速行动的时刻......在窗口期内尽可能保护更多代码"。这种方法可能适用于当前高知名度的开源项目，如Mozilla的Firefox（AI显然在其中发现了14个高严重性漏洞），但对于许多继续运行的旧代码（如嵌入式设备或遗留应用程序中的代码）来说并不现实。

上个月，Anthropic表示："考虑到模型在发现长期隐藏的漏洞和安全问题方面变得如此有效，我们预期世界上很大一部分代码将在不久的将来被AI扫描。"

尽管Anthropic帖子的标题侧重于将这些能力提供给防御者，但有人怀疑这对网络安全来说并非真正的净收益。

对大多数开源项目来说也不是好事，因为AI也善于发现无关紧要或不存在的安全问题，给已经被AI垃圾信息淹没的维护者造成负担。

Q&A

Q1：Claude Opus 4.6在分析代码方面有什么特殊能力？

A：Claude Opus 4.6能够反编译机器语言代码并自动发现安全漏洞。在Russinovich的测试中，它成功分析了1986年用6502机器语言编写的苹果II程序，发现了包括"静默错误行为"在内的多个安全问题。这表明AI已经具备了对古老遗留架构进行漏洞发现的能力。

Q2：AI漏洞发现技术对网络安全有什么影响？

A：AI漏洞发现是一把双刃剑。虽然它能帮助防御者快速发现隐藏多年的安全漏洞，但同样也可能被攻击者利用。Anthropic的红队发现，即使是经过多年模糊测试的代码库，AI仍能找到高严重性漏洞。这意味着全球数十亿个运行遗留固件的微控制器面临新的安全风险。

Q3：为什么AI发现漏洞对开源项目不一定是好事？

A：虽然AI能发现真实的安全漏洞，但它也经常报告无关紧要或不存在的安全问题，产生大量"AI垃圾信息"。这给开源项目的维护者带来额外负担，他们需要花费大量时间筛选和验证AI报告的问题，可能影响正常的项目维护工作。