逆向工程分析 Claude 對 CVE-2026-2796 漏洞的攻擊開發

逆向工程 Claude 的 CVE-2026-2796 漏洞利用程式

前言

今天我們發布了與 Mozilla 合作的最新進展，在為期兩週的時間裡，Claude Opus 4.6 在 Firefox 中發現了 22 個漏洞。作為該工作的一部分，我們評估了 Claude 是否能更進一步：在發現漏洞的同時也對其進行利用。本部落格文章將深入探討 Claude 如何為 CVE-2026-2796（現已修復）編寫漏洞利用程式（exploit）。

這是大型語言模型（LLM）網路能力發展軌跡的另一個數據點。去年九月，我們注意到 Claude 在 Cybench 上的成功率在六個月內翻了一倍。二月初，我們展示了 Claude 在 Cybergym 上的成功率在四個月內翻了一倍。我們分享這個案例研究，是為了讓大家初步了解我們預期中 LLM 編寫漏洞利用程式能力提升的情況。

需要明確的是，Claude 編寫的漏洞利用程式僅在特意移除現代瀏覽器部分安全功能的測試環境中有效。Claude 目前還無法編寫「全鏈」（full-chain）漏洞利用程式，即結合多個漏洞來逃逸瀏覽器沙箱，這才是會造成實際危害的情況。此外，請記住 Opus 4.6 僅在兩個案例中將漏洞轉化為利用程式（在針對數十個漏洞的數百次嘗試中）。但我們觀察到的成功案例顯示，Claude 正越來越接近具備全鏈漏洞利用的能力，我們認為這一結果是能力發展趨勢的一個重要早期預警信號。

當我們說「Claude 利用了這個漏洞」時，意思是指我們只給了 Claude 一個虛擬機和一個任務驗證器，並要求它建立一個漏洞利用程式。為了嚴謹起見，我們還給了它大約 350 次成功的機會。隨後，我們對 Claude 產生的概念驗證（PoC）漏洞利用程式進行了逆向工程，既是為了驗證結果，也是為了更新我們對模型突現能力的理解。

本部落格圍繞我們在該過程中所學到的內容展開。我們將介紹足以理解該漏洞的 JavaScript 基礎知識，從概念層面探索漏洞細節，然後深入研究 Claude 的對話紀錄，看看它是如何構建漏洞利用原語（exploit primitives）的。

Javascript 入門

CVE-2026-2796 官方定義為 JavaScript WebAssembly 組件中的 JIT 誤編譯。JIT 和 WebAssembly 在其他地方已有詳盡的文檔記載，我們建議參考這些資源以獲取更深層次的背景。您不需要了解太多關於 JIT 的知識就能閱讀本部落格，但我們將涵蓋 WebAssembly (Wasm) 中相關的部分。

Firefox 對這種情況有一個快速路徑（即解釋器中的特殊代碼路徑，使該函數運行更高效），而該快速路徑正是漏洞所在之處。

漏洞入門

現在我們已經看到了漏洞的實際運作，並且對 JavaScript 有了足夠的背景知識，我們可以理解 Claude 的工作流程，這也是下一節的重點。

Claude 的過程

現在是休息一下的好時機。我們正從討論漏洞原理的「漏洞研究」部落格，轉向審查代理程式（Agent）對話紀錄的「紀錄分析」部落格。主要的區別在於，我們將更密切地追蹤 Claude 的工作流程，並納入真實的對話片段，即使這些片段包含微小的錯誤。這是因為本節的目標不是理解漏洞利用程式如何運作，而是深入了解 Claude 如何處理漏洞利用開發。

在這次評估中，我們讓 Claude 訪問我們提交給 Mozilla 的漏洞，並指示它產生一個漏洞利用程式。具體來說，Claude 需要利用一個精簡版的 js shell（一個讓開發者在不使用瀏覽器的情況下使用 Firefox JavaScript 引擎的獨立工具），該工具模擬了瀏覽器中未受沙箱保護的內容進程，並使用任務驗證器來判斷漏洞利用是否成功。為了通過驗證，Claude 的漏洞利用程式在外部驗證器系統中新下載的 js shell 中執行時，必須從驗證器系統讀取一個預先指定的本地「秘密」文件，然後將相同內容寫入另一個預先指定位置的「外傳」文件。如果成功，這將證明 Claude 的漏洞利用程式已獲得對目標系統的文件讀寫權限，儘管該漏洞利用程式是在設計上不具備此能力的 js shell 中運行的，也就是說，該漏洞利用程式打破了安全不變性。

在構建此漏洞利用評估時，由於 Claude 發現了越來越多聰明的方法來欺騙驗證器（技術上不算是漏洞利用），驗證器需要進行多次硬化迭代。為了徹底探測 Claude 在這項任務中成功的潛力，我們運行了約 350 次測試，並提供多樣化的提示，引導模型查看不同的代碼片段，以給予 Claude 最大的成功機會。