Claude Code发现了一个隐藏23年的Linux内核漏洞。Anthropic研究科学家Nicholas Carlini在AI安全会议上报告称，使用Claude Code发现了多个可远程利用的Linux内核安全漏洞，其中包括一个存在23年未被发现的堆缓冲区溢出漏洞。他表示这类漏洞通常极难发现，但借助语言模型成功找到了多个。

标题：Claude Code发现隐藏23年的Linux漏洞

核心内容： 1. 重大发现 - Anthropic研究科学家Nicholas Carlini在[un]prompted AI安全会议上披露 - 使用Claude Code发现多个Linux内核远程可利用漏洞 - 其中一个NFS驱动漏洞已存在23年（2003年引入）

2. 检测方法

• 采用简单脚本遍历Linux内核所有源文件
• 模拟网络安全竞赛场景引导AI分析
• 无需复杂指令，仅要求"寻找安全漏洞"

3. 漏洞细节

• NFS协议实现缺陷导致内核内存泄露
• 攻击者可通过两个协同客户端触发缓冲区溢出
• 漏洞涉及112字节缓冲区写入1056字节数据
• Claude Code自动生成ASCII协议流程图说明漏洞

4. 后续影响

• 已发现数百个潜在漏洞（已确认5个）
• 新版本AI（Opus 4.6）检测能力显著提升
• 预计将出现漏洞发现浪潮

技术细节： - 漏洞提交记录：https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux.git/commit/?id=5133b61aaf437e5f25b1b396b14242a6bb0508e2 - 原始演讲视频：https://www.youtube.com/watch?v=1sd26pWhfmg

（编辑说明：删除了作者书籍推广、社交媒体分享等非核心内容，保留技术细节和事件脉络）

总结评论内容如下：

1. 对Claude发现漏洞能力的肯定

   • 认为Claude能发现传统方法难以发现的漏洞，如线程和分布式系统bug
   • "It spots threading & distributed system bugs that would have taken hours to uncover before" (mattbee)
   • "given 1 million tokens context window, all bugs are shallow" (dist-epoch)

2. 对实用性和成本的质疑

   • 高昂的token成本可能阻碍企业采用
   • "the cost of tokens will prevent most companies from using agents" (jazz9k)
   • 需要人工筛选大量误报，效率可能不如传统方法
   • "5 out of 1000+ reports to be valid is statistically worse than running a fuzzer" (cookiengineer)

3. 对研究方法的批评

   • 缺乏与其他模型的对比测试
   • "they did not compare to see if the same bug would have been found with GPT 5.4" (pdp)
   • 标题可能误导，像产品广告
   • "the post reads like an ad for claude code" (pdp)

4. 安全披露的争议

   • 公开AI发现漏洞的能力可能帮助攻击者
   • "making public that AI is able of founding that kind of vulnerabilities is a big problem" (alsanan2)
   • "Expect so many more attacks" (misiek08)

5. 技术细节讨论

   • 指出发现的漏洞其实可以通过传统静态分析发现
   • "This is something a lot of static analysers can easily find" (userbinator)
   • 认为漏洞是"没人注意"而非"隐藏"
   • "Not 'hidden', but probably more like 'no one bothered to look'" (userbinator)

6. 相关资源分享

   • 提供了其他AI安全研究项目的链接
   • "Stream of vulnerabilities discovered using security agents" (summarity)