近期,安全領域的專家Sean Heelan在利用OpenAI的o3推理模型進行代碼審計時,意外取得了一項重大突破。他宣布,在o3模型的幫助下,成功挖掘出Linux內核中的一個重大零日漏洞,該漏洞被編號為CVE-2025-37899。
據Heelan透露,他原本只是打算通過這一模型測試OpenAI的推理能力,但結果卻令人驚喜。o3模型不僅展現出了強大的分析能力,還自主識別出了一個復雜的“use-after-free”漏洞,這一漏洞存在于Linux內核的SMB協議實現中。所謂“use-after-free”,指的是一種由于線程同步不當導致的內存損壞問題,嚴重時可能引發內核內存破壞,甚至執行任意代碼。
Heelan進一步指出,該漏洞出現在處理SMB“logoff”命令的過程中。由于一個線程釋放了對象后,另一個線程仍在訪問該對象,且缺乏適當的同步機制,從而導致了“use-after-free”問題的發生。
為了驗證o3模型的準確性,Heelan還將其與另一個已知漏洞CVE-2025-37778(Kerberos認證漏洞)進行了對比。在分析約3300行代碼時,o3模型的識別率遠超Claude Sonnet 3.7等其他模型,檢測成功率最高可提升三倍。隨后,Heelan將測試范圍擴大至約1.2萬行代碼,o3模型不僅成功定位了Kerberos漏洞,還再次發現了新的“logoff”漏洞。
在發現漏洞后,Heelan立即向相關團隊進行了報告。上游團隊對此迅速響應,并將補丁合并到了所有仍在維護的內核分支中。目前,該漏洞已在Linux內核源碼中得到了修復,用戶只需從發行版拉取更新即可確保系統的安全性。
此次事件不僅展示了OpenAI的o3推理模型在安全領域的巨大潛力,也再次提醒了廣大用戶和系統管理員,及時更新和修補系統漏洞的重要性。隨著技術的不斷發展,利用AI模型進行代碼審計和漏洞挖掘將成為未來安全領域的一大趨勢。
同時,這也為安全研究人員提供了新的思路和工具,使他們能夠更加高效地發現和修復系統中的潛在漏洞,從而保障系統的安全性和穩定性。
最后,盡管AI模型在漏洞挖掘方面展現出了強大的能力,但人工審核和驗證仍然是不可或缺的一環。只有將AI模型與人工智慧相結合,才能構建出更加安全、可靠的軟件系統。
