导读部分 返回列表
黑客利用Claude Opus 4.7攻破美国音乐节门票系统,免费发放VIP通行证 在人工智能安全领域,人们常常担忧AI会引发核密码泄露或银行系统崩溃等灾难性场景。然而,现实往往比想象更荒诞——一名安...
正文内容
黑客利用Claude Opus 4.7攻破美国音乐节门票系统,免费发放VIP通行证
在人工智能安全领域,人们常常担忧AI会引发核密码泄露或银行系统崩溃等灾难性场景。然而,现实往往比想象更荒诞——一名安全研究员伊恩·卡罗尔(Ian Carroll)利用Anthropic公司开发的Claude Opus 4.7,成功攻破了美国几乎所有大型音乐节的门票系统Front Gate Tickets,并能够为自己和朋友们免费发放任何价位的VIP后台通行证。这听起来像科幻电影的情节,却在2026年4月真实上演。
Front Gate Tickets是Live Nation Entertainment旗下的子公司,与Ticketmaster同属一个集团,负责处理从Lollapalooza、Bonnaroo到South by Southwest、Austin City Limits等几乎所有美国主流音乐节的门票业务。卡罗尔发现,Front Gate的网站存在一个漏洞,在Claude Opus 4.7的辅助下,他能够绕过标准防火墙安全控制,访问一个内部API,从而获取数百万客户或员工记录,并自由生成任何活动的门票——无论其价值高达4000美元还是已经售罄。

“看到一张4000美元的门票,我只需点击一个按钮就能无限生成,这感觉太酷了,”卡罗尔说,他运营着创业公司Seats.aero,同时独立进行安全研究。“我可以参加每一个活动,没有任何限制:无论是后台通行证还是超级VIP专属票,即使它们显示已售罄。”幸运的是,卡罗尔没有滥用这一能力,而是立即向Front Gate报告了漏洞。该公司在24小时内修复了问题,并感谢卡罗尔的负责任披露,声明中强调“没有证据表明漏洞被利用、门票受影响或客户信息泄露”。
这个案例揭示了AI在网络安全领域的新角色:它不仅是防御工具,也可能成为攻击者的“超级助手”。Claude Opus 4.7作为Anthropic最新推出的模型,其代码生成和逻辑推理能力被用于发现并利用网站漏洞。卡罗尔表示,如果没有AI的帮助,他可能需要数周甚至数月才能找到这个漏洞,但Claude在几分钟内就给出了可行的攻击路径。这让人联想到中国AI行业类似的讨论:百度文心一言、阿里通义千问等国产大模型在安全测试中的表现如何?它们是否也能被用于类似的黑客行为?事实上,中国网络安全公司如奇安信、360已经将AI集成到渗透测试工具中,但监管机构也警告称,AI可能降低黑客攻击的门槛。
从更宏观的角度看,这一事件凸显了AI“自主黑客”能力的现实性。与科幻作品中复杂的核设施入侵不同,现实中的AI攻击往往针对更常见、更脆弱的系统——比如门票网站。Front Gate的漏洞并非孤例:2023年,Ticketmaster曾因第三方插件漏洞导致数据泄露;2025年,中国大麦网也被曝出类似问题。AI的介入让这些漏洞更容易被发现和利用。卡罗尔的实验表明,即使没有深度的编程知识,一个普通研究员也能借助AI完成高难度攻击。
然而,这并非全是坏消息。AI同样可以用于防御:Front Gate在24小时内修复漏洞,部分原因在于AI辅助的自动化补丁分析。在中国,华为、腾讯等公司正开发AI驱动的安全审计系统,能够实时扫描代码中的潜在风险。但卡罗尔的故事提醒我们:AI是一把双刃剑,它的能力越强,安全挑战就越复杂。未来,我们可能需要重新定义“负责任披露”的边界——当AI能够自动生成攻击代码时,漏洞报告的速度和透明度将成为关键。
最终,这个“黑客与AI”的合谋更像是一场黑色幽默:一个价值数千亿美元的音乐节产业,其安全防线竟被一个AI模型轻易撕开。但好消息是,这次“演出”没有真正的受害者——除了那些可能错失免费VIP通行证的普通观众。不过,当AI学会“自己动手”时,下一次“免费门票”可能就不只是音乐节了。
类似的事件也让我们反思,正如我们之前报道的Meta推出AI创作者助手 2026年Facebook创作者如何让AI立即干活?,AI安全形势日益严峻。
本文出自 AI一族,原文链接:https://www.aiyizu.cn/?p=4313
转发请注明出处,禁止未经允许用于任何商业用途。