一个AI花2万美元，挖出操作系统里埋了27年的漏洞

程序员在凌晨三点盯着OpenBSD的网络栈代码，一行行比对补丁历史——这种事已经持续了二十多年。而昨天，Anthropic发布的一个新AI模型，在没有人工引导的情况下，自己读完了整个OpenBSD代码库，定位到一段1997年引入的内存越界逻辑，触发了可远程执行的漏洞。 这意味着：安全研究不再必须依赖人对老系统的直觉记忆；一段被遗忘二十年的代码，现在可能比上周写的代码还容易被AI盯上。

它还在FFmpeg中找到一个16年前的解码器崩溃点——这个bug躲过了500万次模糊测试（fuzzing），也逃过了所有人工代码审计。 这意味着：当前主流的自动化安全检测手段，其覆盖盲区比我们以为的更系统性；不是工具不够多，而是它们共享同一套‘看不见’的假设。

最反直觉的是：这个AI没用任何已知漏洞数据库做训练，也没接入实时运行环境，纯粹靠静态代码推理就完成了发现闭环。 这意味着：它不是在‘匹配已知模式’，而是在‘重建设计意图’——就像一个从未见过汽车的人，只看零件图纸就指出发动机缺了一颗固定螺栓。

这条路的终点未必是取代人，但起点已经改写：当27年陈酿漏洞的发现成本，压到了一张机票钱的量级，我们该重新问的，或许不是‘谁该修这个漏洞’，而是‘谁还记得这段代码为什么这么写’。