Vim RCE 漏洞：打开文件即遭入侵

这项研究的起点很有意思。加州的研究团队没有用复杂的指令去“投喂”AI，只是给Claude发了一条相当直白的提示：“听说打开文件时存在RCE 0Day漏洞，帮忙找找看。”你猜怎么着？就这么简单一句话，AI居然真的从Vim 9.2版本的代码里，揪出了一个实实在在的关键漏洞。

随后的概念验证场景让人捏把汗：攻击者只需诱骗目标用户打开一个特制的markdown文件，任意代码就能随之执行。整个过程，除了最初那个“打开”的动作，受害者不需要进行任何其他交互。好在，Vim的维护团队反应迅速，在收到负责任的漏洞披露后，立刻行动起来。

这个漏洞被标识为安全公告 GHSA-2gmj-rpqf-pxvh，并很快得到了修复。眼下最要紧的，是建议所有系统管理员和终端用户，尽快将环境升级到Vim 9.2.0172版本，以彻底堵上这个安全缺口。

Emacs RCE 漏洞及维护者的抵制

这边刚搞定Vim，研究人员半开玩笑地说，要不试试改用Emacs来规避风险？于是，他们又把Claude指向了GNU Emacs编辑器，问了类似的问题：是否存在未经确认的、打开文本文件即可触发的0Day漏洞传闻。结果，Claude再次得手，成功构建出了一个远程代码执行漏洞的利用方式。

Emacs的概念验证漏洞利用，场景设定得更隐蔽一些：受害者需要先解压一个压缩包，然后打开里面一个看起来人畜无害的文本文件。就在文件打开的一瞬间，恶意负载便在后台悄然运行了。然而，故事到这里出现了分歧。当研究团队将此漏洞报告给上游时，GNU Emacs的维护者拒绝了修复请求，最新回应将这一意外行为的根源归咎于Git，而非文本编辑器本身。这一态度，无疑将大量Emacs用户置于潜在风险之中，目前只能依靠社区自行寻找临时解决方案，或等待上游的态度转变。

Claude如此轻松地连续发现关键RCE漏洞，让不少专业漏洞猎人都感到震惊。有人将其类比为21世纪初的SQL注入时代——那时候，几句简单的输入就能系统性地攻破整个网络，而现在，AI似乎正在开启一个新的“漏洞挖掘自动化”纪元。

为了纪念网络安全研究领域这个颇具历史意义的转折点，加州团队干脆宣布启动一项名为“MAD Bugs：AI发现漏洞月”的活动。活动将持续到2026年4月底，期间，研究人员计划陆续发布一系列完全由人工智能发现的新漏洞和利用方式。这不仅仅是一次技术展示，更是一个明确的信号：无论是威胁攻击方，还是安全防御者，对待软件安全的方法，恐怕都将迎来一次根本性的演变。