AI 挖洞速度碾压修复速度：$1000 找出 21 个零日、OpenAI 仓皇推出「锁定模式」，但那道根本裂缝仍在

过去 48 小时，AI 安全领域出现了两个方向截然相反却指向同一个问题的新动态：一边，自主 AI 智能体正在以工业化的速度批量挖掘那些隐藏了二十年的漏洞；另一边，OpenAI 不得不为 ChatGPT 上线一个叫「锁定模式」的紧急开关，目的是减少提示注入攻击导致的数据外泄风险。

两件事放在一起，轮廓变得清晰了：攻击方的 AI 化正在把漏洞利用窗口压缩到小时级，而补丁的中位修复时间已经升到 43 天1。防御工具在跟着追，但追的是症状，不是根源。

一个安全初创用 $1000 找出 FFmpeg 21 个零日

6 月 6 日，安全初创公司 Depthfirst 披露了一份令人不安的研究报告。他们的自主 AI 智能体扫描了 FFmpeg 约 150 万行 C 语言代码，发现了 21 个此前未知的零日漏洞，整个过程的算力成本约为 1000 美元2。

FFmpeg 是几乎所有涉及视频的应用、工具和容器都在使用的开源多媒体库。这 21 个漏洞涵盖 TS 解复用器、VP9 解码器等多个组件，绝大多数是解析器和解复用器中的堆溢出或栈溢出漏洞。其中一个栈溢出漏洞追溯至 2003 年的服务描述表代码，在代码库里安静地潜伏了超过 20 年。目前已有 9 个漏洞获得 CVE 编号（CVE-2026-39210 至 CVE-2026-39218），Depthfirst 也已公开发布每个漏洞的可复现概念验证代码。

这不是孤立事件。Google 的 Big Sleep 智能体去年已报告过一批 FFmpeg 漏洞。Anthropic 的 Mythos 模型此前花费约 1 万美元找出包含一个 16 年历史 H.264 缺陷在内的多个漏洞。Depthfirst 称自己以十分之一的成本完成了可比较规模的工作2。

同一天，谷歌发布了 Chrome 149，单次修复 429 个安全漏洞——有史以来单次浏览器发布中最多的补丁数量，其中逾 100 个被评级为高危或严重。最严重的漏洞 CVE-2026-10881 的 CVSS 评分为 9.6，是 ANGLE 图形引擎中的越界读写漏洞，可被恶意页面利用以逃出 Chrome 沙箱并在宿主机上执行代码。谷歌为这份报告支付了 97000 美元的漏洞奖金2。

thenextweb.comhttps://thenextweb.com/news/ai-agent-21-zero-days-ffmpeg-chrome-429外部链接

正在加载内容卡片…

这两条消息并排出现，指向的是同一个令人头疼的算术问题：找漏洞已经变得比修漏洞便宜且快得多。Mozilla 此前在一次扫描中修复了 Mythos 发现的 271 个 Firefox 漏洞。一项 2 月发布的研究显示，AI 智能体能够对 100 个真实 Linux 内核漏洞中逾半数复现可用的 exploit，胜过传统模糊测试。

漏洞发现正在工业化。人类分类员和工程师还没有配套的工业化修复能力。

OpenAI 的「锁定模式」：一道门，但门缝还开着

就在 Depthfirst 披露报告的同一天，OpenAI 宣布向 ChatGPT 推出一项名为 Lockdown Mode（锁定模式）的新功能3。

锁定模式开启后，会禁用以下功能：

实时网页浏览（只能访问缓存内容）
从网络检索和显示图片
深度研究（Deep Research）
Agent 模式

OpenAI 对这项功能的定位说得很直白：「锁定模式并非为每个人设计，它面向处理敏感数据、希望获得更严格的数据外泄风险防护的个人和组织。」目前正向自助式 ChatGPT Business 账户以及符合条件的个人账户逐步推出。

但更值得注意的是 OpenAI 紧接着承认的那句话：即使开启锁定模式，ChatGPT 仍可能受到提示注入攻击的影响。「攻击可能出现在缓存的网页内容或上传文件中，仍可能影响响应的行为或准确性。」3

换句话说：锁定模式降低了数据被泄露出去的通道，但没有消除提示注入本身，也没有解决数据在推理过程中以明文形式存在这一根本前提。攻击者只要能把恶意指令藏进输入来源，模型仍然会在明文状态下处理它，随后才会被锁定规则拦截——或者不被拦截。

techcrunch.comhttps://techcrunch.com/2026/06/06/openai-unveils-lockdown-mode-to-protect-sensitive-data-from-prompt-injection-attacks/外部链接

正在加载内容卡片…

剪刀差与那道没被堵上的口

这两则消息叠放，揭示的是一个安全架构上的结构性问题，而不是任何单一事件。

AI 正在让漏洞挖掘的门槛快速下降，同时让数据处理的范围和敏感度持续上升。企业在把越来越多的内部数据、用户隐私、业务决策喂给 AI 系统；而 AI 推理的基本工作方式，是以明文状态处理输入、产出输出。不管外围加了多少防护，明文推理过程本身就是一个不可消除的暴露面。

漏洞利用窗口压缩到小时级，而补丁修复的中位时间是 43 天——这个剪刀差不会因为多了一个「锁定开关」而消失。提示注入可以从缓存内容里注入，可以从上传文件里注入，这些渠道 Lockdown Mode 自己承认并没有封住。

真正需要解决的，是让 AI 推理过程本身不再需要明文。

这正是密态计算的切入点。荆华密算的密态 AI 推理系统，让模型在加密状态下完成推理——不论是漏洞被利用、提示注入成功，还是内部人员有意或无意地接触推理链，明文数据始终不在任何可访问的内存空间出现。锁定模式解决的是「减少数据能流往哪里」，密态推理解决的是「数据在处理过程中能否以明文被触及」。后者是前者没能触达的那一层。

当 AI 智能体用 1000 美元就能批量生产可利用漏洞的今天，等 43 天发补丁的防御节奏已经跟不上。安全架构需要从「缩小攻击面」向「让攻击者拿到的是密文而不是明文」演进。荆华密算面向 C 端的全链路密态 AI 助手已于 2026 年 6 月 1 日开启内测，企业级密态推理系统同步推进。

参考来源

1 The Hacker News，2026-06-05

2 The Next Web，2026-06-06

3 TechCrunch，2026-06-06