一个URL、3000美元，AI拿下微软：自主黑客时代已经开始

如果你还以为黑客需要天才少年和无数个不眠之夜，那你已经落后了。XBOW 的创始人 Oege de Moor 在红杉的一场演讲中，展示了一个几乎没人准备好的现实：完全自主的 AI 黑客，已经在真实世界里，击败了人类顶级安全研究员。

不是“AI 辅助黑客”，而是“AI 自己动手”

很多人听过墨西哥政府被攻破的故事：人类黑客使用 OpenAI、Anthropic 作为助手，完成了一次大规模数据泄露。但 Oege de Moor 一上来就泼了盆冷水——那已经是“旧时代”的玩法了。

他讲的是更激进的一件事：完全没有人类参与的自主黑客。不给源码、不提供背景、不做人工判断，只丢给 AI 一个 URL，然后让它自己侦察、自己决策、自己下手。

结果并不只是实验室 Demo。几周前，微软披露 Bing 图片搜索中存在一个远程代码执行漏洞（RCE）。这是安全领域里最致命的漏洞类型之一，意味着攻击者可以在目标系统上运行任意代码、完全接管。

这个漏洞不是被成千上万的人类黑客找到的，而是被 XBOW 的产品发现的。唯一输入：URL。成本：3000 美元（标价）。Oege 强调：这甚至不是他们的真实成本。

结论简单又刺耳：它更快、更便宜，而且极其有效。

AI 黑客为什么能赢？因为它把“入侵”当成一个系统

Oege 用了一个不太像技术演讲的类比：1575 年的日本长筱之战。

一边是声名显赫、战功彪炳的武士骑兵；另一边是把战争当成“系统工程”来优化的织田信长，使用的是当时最新的火枪。结果大家都知道——历史的拐点，往往来自工具范式的变化。

XBOW 的工作方式，几乎是在“复刻”一个顶级人类黑客的流程：先侦察攻击面，派出大量 agent 探测入口；再对目标进行优先级排序；最后对每一个“最肥美”的端点，系统性尝试所有相关攻击手法。

不同的是，它不会累、不受经验偏见影响，也不会因为‘这个系统太安全了’而放弃。

为了堵住“这不可能完全自动化”的质疑，XBOW 直接把自己的 bot 扔进了 HackerOne——一个真实世界的漏洞赏金平台。完全黑盒测试，只给 URL。

结果？几周内，它先成为美国第一黑客，随后登顶全球第一。没有人类协助。

模型进化太快了：人类领先期，正在变成负数

更让人不安的是，这还不是终局。

Oege 明确指出：XBOW 在去年 8 月登顶时，用的是 Sonnet 和 Gemini 的“合金”策略——每一步随机调用不同模型，让它们互相弥补错误，效果明显优于单一模型。

随后 GPT-5 发布。按照他们的基准外推，如果当时就用 GPT-5，XBOW 的表现至少还能再提升 3 倍。

而防守方的处境更糟。过去，CVE 从公开到被大规模利用，平均有将近两年的缓冲期；而今天，这个数字已经变成了负数——漏洞在 CVE 发布前就已经被利用。

这也是为什么 Oege 对“网络安全股票下跌”感到不可思议：我们面对的是一场已经开始的军备竞赛，而且开源模型会在 6–9 个月内追平当前最强能力。

他的最后一句话，听起来像玩笑，却一点也不好笑：如果你还想安心过感恩节，现在就该开始修漏洞了。

总结

这场演讲真正可怕的，不是 XBOW 有多强，而是它揭示了一个趋势：进攻侧已经全面自动化，而防守侧仍然依赖人工流程和事后补救。对 AI 从业者来说，这意味着三件事：第一，不要低估 AI Agent 在真实世界的破坏力；第二，安全能力将成为大模型的核心竞争力之一；第三，如果你在做系统、平台或模型，现在就该假设“攻击者是 AI”。未来不是人对人，而是系统对系统。你准备好站在哪一边了吗？

关键词： 自主AI黑客， XBOW， AI Agent， 网络安全， 大语言模型

事实核查备注： 需要核查：XBOW 在 HackerOne 登顶的具体时间（8月）、Bing 图片搜索 RCE 漏洞公告时间、3000 美元成本是否为官方标价、GPT-5 性能外推为 3 倍的原话语境