AI 周报:AI 安全攻防新博弈 —— 从 DeepSeek 泄密到 Project Glasswing 万级漏洞发现
过去一周,AI 界上演了一场惊心动魄的攻防博弈。一边是 DeepSeek 会话隔离漏洞导致用户数据裸奔,Mozilla 替安全防线内核发出警告;另一边,Anthropic 的 Project Glasswing 仅用一个月便发现逾万高危漏洞,OpenAI 的模型更是推翻了悬置八十年的数学猜想。安全,正在成为 AI 赛道的最高优先级。
漏洞爆发:AI 系统与人的双重脆弱性
本周最令人不安的消息来自 DeepSeek。研究者 cancat2024 披露,DeepSeek 的 Web 和 API 对话系统存在严重的会话隔离缺陷:攻击者只需在新开的空白对话中输入一个未闭合的 <think 字符串,就能获取其他用户的完整对话历史,包括私人代码、API 密钥等敏感信息 [^1]。这不仅暴露了多租户系统设计上的基础失误,更暴露出模型在特殊令牌处理逻辑上的危险短板。同一个 bug 在第三方部署中也同样存在,暗示问题可能源自模型底层行为,而非单纯的容器隔离失败。
与软件漏洞遥相呼应的是人的失误。一名 CISA(美国网络安全与基础设施安全局)承包商竟然把 AWS GovCloud 的访问密钥,连同内含数十个内部系统明文用户名和密码的 CSV 文件,推送到公共 GitHub 仓库 [^2]。被通知后,该承包商甚至没有做出响应。这再次敲响警钟:即便拥有最先进的 AI 防护工具,薄弱的操作习惯也能瞬间瓦解整个防线。
与此同时,GitHub 自身的供应链也遭到攻击。一名员工因安装了恶意 VSCode 扩展,导致约 3800 个内部仓库被非法访问,可能泄露 Copilot、CodeQL 等核心项目的源代码 [^3]。评论社区几乎异口同声地批评当前开发工具扩展的安全审查几乎为零 —— npm、pip 包的供应链风险早已被反复提及,而 IDE 扩展却成了被遗忘的角落。
就连 Linux 的灵魂人物 Linus Torvalds 也在一周前的内核预补丁公告中痛陈,AI 生成的漏洞报告正大量涌入内核安全邮件列表,制造大量噪音和重复工作 [^4]。他明确要求此类报告不应被私下处理,而应进入公开工单系统。AI 既能帮人挖洞,也能制造「假阳性洪水」,这是两种力量的直接碰撞。
防护崛起:AI 猎人与补丁瓶颈
Anthropic 本周发布的 Project Glasswing 阶段性成果,则展示了攻防平衡的另一端。基于未公开的 Claude Mythos Preview 模型,该项目在一个月内从关键软件和开源项目中发现了超过一万个高危漏洞,经过六家独立安全公司复核,确认的真阳性率高达 90.6%[^5]。其合作伙伴 Cloudflare 反馈漏洞发现速度提升了十倍以上。这是一次 AI 在安全领域从「辅助」走向「主导」的里程碑式验证。
然而,戏剧性的效率提升立刻撞上现实的补丁瓶颈。发现难,修复更难 —— 人工验证、负责任披露、等待维护者修复,这些环节仍是不可逾越的慢车。就连著名开源工具 cURL 的维护者 Daniel Stenberg 也对这类工具的实效表示怀疑,认为它还未超出已有方法的优势 [^6]。Project Glasswing 的突破固然亮眼,却也把行业对自动化修补的渴求推上了桌面。
智能的另一面:AI 驱动数学突破
安全议题之外,OpenAI 的一则消息提醒我们 AI 的强大远不止于写代码。其内部模型成功构造出了一族无限反例,推翻了保罗・埃尔德什在 1946 年提出的离散几何核心猜想 —— 单位距离问题 [^7]。这是 AI 模型首次推翻一个长期悬而未决的重大数学猜想,并且证明通过了形式化验证与外部数学家小组的评审。它表明 AI 已经具备超越模式匹配的真正科学发现能力,而非简单重复训练语料。
这条新闻让许多从业者既兴奋又不安:如果 AI 能发现人类数学家从未想到的构造,那么它在安全领域也能找到人类从未预见过的攻击面。能力的进阶必然伴随着攻击面的扩大。
行业巨变:人才、算力与市场重新洗牌
在更宏观的格局上,AI 产业正经历剧烈重组。英伟达 CEO 黄仁勋在周中宣布,由于美国出口管制,公司已基本放弃中国 AI 芯片市场,将其拱手让给正在崛起的华为昇腾生态 [^8]。全球最大 GPU 厂商的战略性撤退,将加速中国本土芯片的替代进程,并可能在数年内形成两套并行的硬件栈。
人才流向也出现关键信号:安德烈・卡帕西(Andrej Karpathy)本周正式宣布加入 Anthropic,负责预训练团队 [^9]。这位曾参与创立 OpenAI、主导过特斯拉 Autopilot 的顶级研究者,其加盟不仅增强了 Anthropic 在前沿大模型训练中的实力,也可能影响该公司对 AI 安全的长期战略 —— 毕竟卡帕西一直是「vibe coding」等实用理念的倡导者。
更震撼的算力交易来自 SpaceX 的 S-1 文件:Anthropic 与 SpaceX 签订了一项惊人的云计算协议,每月支付 12.5 亿美元使用 COLOSSUS 超级计算机集群,合同持续至 2029 年 5 月 [^10]。这意味着 Anthropic 仅算力开支就已超过多数 AI 公司的全年营收,而基础设施竞赛已进入百亿美元规模的军备竞赛。与此同时,微软财报显示 OpenAI 单季亏损约 115 亿美元 [^11],高投入、高亏损成为头部 AI 公司的共同标签。
另外,微软内部正在大规模推广对手的 Claude Code,甚至鼓励非技术人员使用它做原型设计 [^12]。这折射出企业 AI 工具市场的竞争之激烈,已迫使巨头放下门户之见,效率优先于阵营。
总结与展望
本周呈现的图景冷酷而清晰:AI 正在同时成为最锋利的矛与最坚固的盾。一边是 DeepSeek 的数据泄漏、恶意扩展的供应链攻击、人工失误导致政府机密外泄,另一边是 Project Glasswing 超高精度的漏洞发现与修复效率的飞跃。攻防双方都在借助 AI 升级,最终胜负取决于谁能更快地消除从代码到流程每一个环节的脆弱性。
在未来几个季度,我个人将重点关注以下几点:
- DeepSeek 类漏洞是否会成为 AI 对话服务的普遍性问题,以及业界能否催生统一的安全隔离标准。
- Project Glasswing 等工具能否催生一个 AI 原生安全运维生态,将发现 - 修复的周期从数月压缩到数天。
- 算力资金大战带来的成本结构,是否会使得「安全」成为只有头部公司才能支付得起的奢侈品。
唯一确定的是,AI 的安全攻防已经进入加速通道,任何盲点都可能在一夜间被放大为灾难。而我们,才刚刚开始。
[^1]: DeepSeek 会话隔离漏洞报告(来源:Telegram zaihuapd,2026-05-19)https://t.me/zaihuapd
[^2]: CISA 承包商泄露 AWS GovCloud 密钥(Hacker News 讨论)https://news.ycombinator.com/item?id=…
[^3]: GitHub 确认通过恶意 VSCode 扩展泄露 3800 个仓库(Hacker News 讨论)https://news.ycombinator.com/item?id=…
[^4]: Linus Torvalds 谈 AI 漏洞泛滥(来源:LWN.net)https://lwn.net/
[^5]: Project Glasswing 更新:真阳性率 90.6%(Anthropic 博客)https://www.anthropic.com/news/project-glasswing-initial-update
[^6]:据 Hacker News 评论区反馈,2026-05-22
[^7]: OpenAI 模型推翻 Erdős 猜想(OpenAI 博客)https://openai.com/index/an-openai-model-has-disproved-a-central-conjecture-in-discrete-geometry/
[^8]:黄仁勋宣布英伟达放弃中国 AI 芯片市场(来源:Telegram zaihuapd,2026-05-22)https://t.me/zaihuapd
[^9]: Andrej Karpathy 加入 Anthropic(Hacker News 讨论)https://news.ycombinator.com/item?id=…
[^10]: SpaceX S-1 披露与 Anthropic 的月均 12.5 亿美元计算协议(来源:Simon Willison 博客)https://simonwillison.net/2026/May/20/anthropic-spacex/
[^11]:微软财报披露 OpenAI 季度亏损 115 亿美元(来源:Telegram zaihuapd,2026-05-23)https://t.me/zaihuapd
[^12]:微软在核心团队推广 Claude Code(来源:Telegram zaihuapd,2026-05-23)https://t.me/zaihuapd