最近关于Claude Mython Preview和GPT 5.5的文章变多了，从各篇评测文章来看，AI发现或者协助发现漏洞的过程正在加速。

AI

XBOW的文章说明，AI在有源码和环境时发现漏洞最强，同时AISI的测评表明，Mython Preview和GPT 5.5做CTF很强了。另外COPY.FAIL漏洞，也是在研究员的指导下AI协助发现的。 这些现象表明，AI目前正在加速漏洞发现的过程。同时一些文章也表明，AI目前在逆向方面很强，有团队用AI在闭源软件中也发现了高危漏洞。

漏洞分析

最近看新闻时，看到一则安全通过，报道了某个开源系统中存在SQL注入漏洞。漏洞公告出来之后，没多久就被扫描利用。 根据通过和安全新闻中的提示，我们定位到漏洞的关键输入和漏洞可能出现的模块，借助AI的分析，几个小时之内，就定位到了注入漏洞点。 如果没有ai，我们需要先去分析源码，了解大致架构，输入是怎么一步一步到可能的漏洞点的，而现在，借助ai，我们可以迅速了解代码，甚至直接让ai来帮我们理清逻辑和问题点。

而XBOW的一张评测图片中，显示的prompt是代码里面存在漏洞，让ai找出来漏洞。 虽然ai还是统计学上的token预测，但是目前从结果来看，确实是加速了代码的分析过程，甚至可以自己找到漏洞。

代码分析

最近对一个网站分析，由于网站对数据包请求和响应都做了加密，因此上次没有深入分析。 而这次我想试一试ai。 于是，通过简单的分析，我们定位到了前端加密的代码，是写在wasm里面的加密代码，虽然说我们可以自己分析代码，但是要搞懂加密过程，还得费不少时间。 于是，我将加密部分的wasm代码直接给到ai，让ai分析代码的逻辑，几十秒钟，ai就分析出来代码的逻辑。接着，让ai生成一个等效的javascript代码来实现加解密，起初ai只直接对着wasm的代码进行js翻译的，导致代码仍然比较复杂。我们换了prompt，ai生成的代码就非常简洁，并且同时给出了加解密的代码。 通过对请求包代码进行解密，直接成功。不过，对返回包的代码进行解密时，发现报错。 于是我们再次定位到返回包解密的部分，解密代码仍然是在wasm里面，将代码负责丢给ai，ai分析说这不是解密 代码，是一段堆栈数据处理代码。于是我们再次查看js代码，发现找错了地方，于是将新的代码丢给ai，ai分析出了解密过程，确实和前面的加密过程使用的不是一套逻辑，并且比较复杂。 接着，让ai实现一个解密算法，不过拿去解密时，缺少import的objects，于是报错丢给ai，改完之后，还是报错。 最终，直接将整个wasm都给ai，这一次，生成的解密代码成功解密。 于是直接让ai生成一个html页面，包含加密和解密 过程，最终几分钟内就生成了一个简单易用的界面。 接下来就可以自由修改数据包进行测试了。 整个过程给我的感觉是，如果没有ai，分析这个wasm，会需要不少时间，写对应的加解密代码，又需要不少时间，还需要调试修改代码，而这几步，现在给到ai，ai只需要几分钟就完成了，确实是超出预期的。

漏洞挖掘的朋友们，ai可以用起来了。