近期,安全领域的专家Sean Heelan在利用OpenAI的o3推理模型进行代码审计时,意外取得了一项重大突破。他宣布,在o3模型的帮助下,成功挖掘出Linux内核中的一个重大零日漏洞,该漏洞被编号为CVE-2025-37899。
据Heelan透露,他原本只是打算通过这一模型测试OpenAI的推理能力,但结果却令人惊喜。o3模型不仅展现出了强大的分析能力,还自主识别出了一个复杂的“use-after-free”漏洞,这一漏洞存在于Linux内核的SMB协议实现中。所谓“use-after-free”,指的是一种由于线程同步不当导致的内存损坏问题,严重时可能引发内核内存破坏,甚至执行任意代码。
Heelan进一步指出,该漏洞出现在处理SMB“logoff”命令的过程中。由于一个线程释放了对象后,另一个线程仍在访问该对象,且缺乏适当的同步机制,从而导致了“use-after-free”问题的发生。
为了验证o3模型的准确性,Heelan还将其与另一个已知漏洞CVE-2025-37778(Kerberos认证漏洞)进行了对比。在分析约3300行代码时,o3模型的识别率远超Claude Sonnet 3.7等其他模型,检测成功率最高可提升三倍。随后,Heelan将测试范围扩大至约1.2万行代码,o3模型不仅成功定位了Kerberos漏洞,还再次发现了新的“logoff”漏洞。
在发现漏洞后,Heelan立即向相关团队进行了报告。上游团队对此迅速响应,并将补丁合并到了所有仍在维护的内核分支中。目前,该漏洞已在Linux内核源码中得到了修复,用户只需从发行版拉取更新即可确保系统的安全性。
此次事件不仅展示了OpenAI的o3推理模型在安全领域的巨大潜力,也再次提醒了广大用户和系统管理员,及时更新和修补系统漏洞的重要性。随着技术的不断发展,利用AI模型进行代码审计和漏洞挖掘将成为未来安全领域的一大趋势。
同时,这也为安全研究人员提供了新的思路和工具,使他们能够更加高效地发现和修复系统中的潜在漏洞,从而保障系统的安全性和稳定性。
最后,尽管AI模型在漏洞挖掘方面展现出了强大的能力,但人工审核和验证仍然是不可或缺的一环。只有将AI模型与人工智慧相结合,才能构建出更加安全、可靠的软件系统。
