
一句话看懂:安全研究员 Ian Carroll 借助 Anthropic 的 AI 工具 Claude Opus 4.7,发现并利用 Live Nation 旗下票务平台 Front Gate Tickets 的漏洞,可任意发行包括 Bonnaroo、Lollapalooza 在内绝大部分美国音乐节的门票。该漏洞已修复,但事件揭示了 AI 在发现和利用 Web 安全漏洞方面的实际能力。
事件核心:发生了什么
今年 4 月,独立安全研究员 Ian Carroll 利用 Claude Opus 4.7,渗透了 Live Nation Entertainment 的子公司 Front Gate Tickets。这家公司负责处理几乎所有美国大型音乐节(南西南、奥斯汀城市极限、Lollapalooza 等)的票务系统。Carroll 发现该系统存在一个 Web 漏洞,在 Claude 的帮助下,他能够获取超级管理员权限,访问数百万条客户和员工记录,并为自己或他人无限制地发行任意价值的门票——包括价值 4000 美元的超级 VIP 套票。Carroll 没有滥发门票,而是立即向 Front Gate 报告了漏洞。Front Gate 声明称漏洞在 24 小时内被修复,没有证据表明数据泄露或门票被滥用。Carroll 是 Anthropic“网络验证计划”成员,该计划允许安全研究人员使用其 AI 工具进行特定黑客行为。
为什么重要
这一事件展示了 AI 在漏洞发现中的实际威胁和防御价值。Carroll 表示,Claude 在构建攻击所需的关键步骤时非常顺畅,甚至认为“在没有我干预的情况下,AI 从头到尾找出这个漏洞的可能性很大”。与抽象的危险场景(如窃取核代码)不同,这是一个真实的、可操作的 Web 攻击实例。Front Gate 覆盖了美国除科切拉之外的几乎所有大型音乐节,A 类漏洞的潜在影响面极广。同时也说明,AI 工具既能让攻击者更快发现漏洞,也能让安全研究人员(如 Carroll)更高效地帮助企业提升防护能力。
对用户/开发者/创作者的影响
对开发者和企业安全团队:AI 辅助渗透测试正在成为现实。Carroll 的案例提示,传统 Web 防火墙和审计日志可能无法应对 AI 驱动的攻击。企业需要将 AI 工具纳入常规安全测试流程,并关注类似 Anthropic 的“网络验证计划”所倡导的负责任使用规范。对于使用第三方票务平台的音乐节主办方,应检查其安全响应流程(Front Gate 声称 24 小时内完成补丁)。对普通用户:虽然此次漏洞已被及时修补,但该事件表明,即使是大型票务平台(包括客户的个人信息入口)也可能存在被 AI 自动化攻击的风险。用户应开启多因素认证,并警惕异常门票信息。
AI 工具推荐
想把多个 AI 模型放在一个入口?
GamsGo AI 集成 ChatGPT、DeepSeek、Gemini、Claude、Midjourney、Veo 等常用模型,适合写作、绘图、视频和日常 AI 工作流。
推广链接:通过此链接购买,我可能获得佣金,不影响你的价格。
值得关注的后续
① AI 驱动的漏洞发现会如何改变红蓝队的攻防成本:Claude 在本次测试中几乎“全自动”完成关键环节,这种能力若大规模应用,可能将 0day 发现速度提高数个数量级。② Live Nation 旗下 Ticketmaster 和 Front Gate 同属一个母公司,是否会在旗下其他平台启用 AI 辅助的扫描防御系统。③ 目前公开信息显示,Carroll 的漏洞发现属于负责披露,但 Front Gate 未明确否认此前有人利用过相同漏洞——审计日志和对历史未授权访问的追溯将成为行业关注点。
来源:Wired AI


