返回

文章详情

Claude帮助黑客找到几乎所有美国音乐节发行票的方式

Wired2026年7月1日 10:00

关于能够进行自主黑客攻击的人工智能工具的担忧通常涉及噩梦般的情景,比如核发射代码被盗或银行储备归零。事实证明,要求人工智能在票务网站上获得超级管理员访问权限,并为自己和所有朋友发行免费的VIP后台通行证,更加现实。这是安全研究员伊恩·卡罗尔的发现,他在4月份使用人工智能工具Claude Opus 4.7发现了一种技术,使他能完全访问Front Gate Tickets的系统,该公司几乎负责所有主要美国音乐节的票务,从Lollapalooza和南方西南到奥斯汀城市限制。卡罗尔发现,Front Gate(如同Ticketmaster一样,是娱乐公司Live Nation Entertainment的子公司)的网站存在一个漏洞,他借助Claude的帮助能够利用这个漏洞获得数百万客户或员工记录的访问权限,并自由为自己或他选择的任何人发行任何活动、任何价值的票。卡罗尔说:“看到一张价值4,000美元的票,我只需点击一个按钮,就可以发行任意数量的票,这真是太酷了。”他经营着初创公司Seats.aero,但也进行独立的安全研究。“我可以以没有任何限制或限制的方式参加每一个活动:我可以获得后台通行证或他们出售给超级VIP的任何东西——即使它已经售罄。”事实上,卡罗尔并没有利用他发票的超级能力,而是将他的发现报告给了Front Gate,该公司表示现在已经修补了该漏洞。当WIRED联系该公司时,该公司以声明的形式回应,感谢卡罗尔报告可被攻击的漏洞,并将此事件描述为一次成功的合作,已导致其安全性得到改善。“在24小时内解决了这个问题,我们可以确认没有证据显示被利用、票务受到影响或者客户信息被泄露,”声明中写道。“这一问题是由一位负责任的安全研究员发现的,他使用了人工智能辅助工具来绕过标准的防火墙安全控制,并访问了用于节日场馆入场扫描仪的内部API——而不是面向消费者的系统或公共登录门户。”卡罗尔发现的4天“铂金”票,获得Front Gate管理员账户访问权限后能够添加到他的购物车中。Ian Carroll提供 尽管该漏洞现在已经修复,但该事件展示了人工智能在网络的每个方面可能能找到可被攻击的漏洞的程度。卡罗尔是Anthropic的网络验证程序的一部分,该程序允许批准的安全研究人员使用其工具执行某些黑客功能。他表示,Claude轻松提出破坏Front Gate网站的技术的关键要素让他感到惊讶。“我认为它有很大可能性能够在我什么都不做的情况下找到这个漏洞,”卡罗尔说。当WIRED联系Anthropic时,该公司在声明中回应称,“我们创建了网络验证程序,以便将先进的安全能力提供给防御者,使他们能够进行有助于使全球代码更安全的这种研究。”它补充说,如果卡罗尔没有参与该程序,他使用Claude黑客Front Gate系统的行为将被检测到并被阻止。在回应WIRED时,Front Gate的发言人争辩称,该公司的安全防护措施限制了个人信息的暴露,伪造票务将留下审计记录,而黑客发行的票务将被检测到并在可以使用之前被取消。卡罗尔反驳称,这些主张充其量是可疑的。他表示,他成功获得了该公司平台的超级管理员权限,且没有明显的反应,并且确实通过一个面向公众的登录门户访问了该网站。卡罗尔还指出,Front Gate并没有声称有证据表明该漏洞没有被事先利用。此外,当卡罗尔在WIRED联系Front Gate之前向该公司分享了一篇关于他发现的博客文章草稿时,Front Gate确认了卡罗尔的发现。在当时对卡罗尔的回应中,该公司并没有否认他有能力随意生成票务。卡罗尔说,他在几个月前首次了解到Front Gate,当时他打算参加电气雏菊嘉年华,这是在他故乡拉斯维加斯举办的一场大型电子舞蹈音乐节。他看到该节日的票务由Front Gate运营,在查看其他音乐节网站时,他感到好奇,因为同一家公司的票务几乎负责除了Coachella以外的所有主要美国音乐节。“这就像Ticketmaster但针对音乐节,”他记得这样想着。“他们基本上是垄断了。”卡罗尔在Front Gate Tickets系统中找到的音乐节列表。(尽管标记为2025年,卡罗尔的发现更具时效性。)

赞助内容

NordVPN Next-gen Antivirus

本站免费、广告极少。如果觉得有帮助,可以请我们喝杯咖啡 —— 任何金额都对持续运营有实际帮助。

请我喝杯咖啡