為什麼瀏覽器 exploit 基準已證明 AI 安全威脅就在眼前

Claude Mythos 與 GPT-5.5 的 benchmark 顯示，自主瀏覽器漏洞利用已成為現實能力。

我認為，browser exploit benchmark 已經證明 AI 安全威脅不是未來式，而是現在進行式。這不是因為模型會「猜題」，而是因為它們開始能把已知漏洞一路推到可執行的攻擊結果。Carnegie Mellon 的 ExploitBench 直接測到 V8 漏洞到 code execution 的完整鏈條，Claude Mythos Preview 在 41 個漏洞中有 21 個衝到最高層級，平均 9.90/16；GPT-5.5 則只有 5.51。更重要的是，Mythos 在 fully autonomous mode 仍有 9.55，表示它不是靠提示詞拼裝出來的表演，而是在做真正的 exploit 工作。

第一個論點

這個 benchmark 的價值，在於它測的是「攻擊是否真的完成」，不是「模型是否看懂題目」。很多 AI security demo 停在分類、偵測、或 notebook 裡的 proof of concept，對防守方沒有直接意義。ExploitBench 用五個層級評分，最高到 target system 的 arbitrary code execution，這才是安全團隊真正關心的分界線。當攻擊者能在瀏覽器或 JavaScript engine 裡跑指令，sandbox 在實務上就已經失去意義。

但把它降格成「只是已知漏洞」也低估了風險。現實中的入侵鏈，大多不是靠發明全新漏洞，而是靠更快、更穩、更大量地把已知漏洞變成可用攻擊。只要模型能穩定把已知 browser vulnerability 推到 code execution，它就已經能補上攻擊鏈最耗時、最磨人的中段。這一段一旦被自動化，防守方面對的就不是單次攻擊，而是可規模化的 exploit 工廠。

你能做什麼

如果你是工程師、PM 或創辦人，現在該做的不是討論 AI 會不會帶來風險，而是把它當成既有風險來設計系統。優先縮短 browser 與 JavaScript engine 的更新週期，降低單點爆炸半徑，並把 agentic red teaming 納入常態流程；同時，對內使用這類模型做 fuzz triage、漏洞分析與攻擊路徑演練，但必須加上嚴格權限與審計。結論很直接：自主 exploit 開發已經進入威脅模型，你的防線也要跟著進入這個時代。