技术深度解析
电压毛刺攻击是一种故障注入攻击形式,利用芯片的物理特性。通过在电源电压中引入精确、瞬时的跌落(通常持续纳秒到微秒),攻击者可以使处理器跳过指令、破坏内存读取或改变控制流。经典目标是安全启动序列:如果毛刺恰好在处理器检查数字签名的那一刻发生,它可以跳过验证并加载未签名的固件。
这次突破之所以意义重大,在于Claude Code展现出的自主性水平。研究人员向AI提供了一个高层目标:“使用电压毛刺攻击绕过这颗STM32微控制器的安全启动。”Claude Code随后:
1. 提出了毛刺参数:它选择了电压跌落深度(例如从1.2V降至0.8V)、持续时间(例如50ns)以及相对于启动序列开始的时序偏移。
2. 编写了FPGA位流配置:攻击需要一个由FPGA控制的高速开关电源。Claude Code生成了FPGA的Verilog代码,以产生精确的毛刺波形。
3. 实现了主机端控制脚本:它编写了一个Python脚本,与FPGA通信,在正确时刻触发毛刺,并监控设备的输出。
4. 在失败后迭代:第一次尝试失败了。Claude Code分析了串行输出(显示“签名失败”消息),将时序偏移调整了15ns,并在第二次尝试中成功。
这个工作流程与人类硬件黑客的做法如出一辙,但速度是机器级的。关键推动力在于模型能够推理时序图、电压水平和FPGA逻辑——这些领域与典型的编程任务相去甚远。底层架构很可能是Claude的大型语言模型核心(提供通用推理能力)与一个代码执行沙盒(允许智能体实时测试和调试)的结合。研究人员使用了Claude Code CLI工具,它提供了一个类似REPL的界面,模型可以在其中运行命令、读取输出并修改其方法。
该领域一个相关的开源项目是ChipWhisperer(GitHub: newaetech/chipwhisperer,3.2k星标),一个用于侧信道分析和故障注入的工具链。虽然Claude Code没有直接使用ChipWhisperer,但攻击方法完全相同。另一个是PicoGlitcher(GitHub: robertguetzkow/pico-glitcher,500+星标),一个低成本的电压毛刺平台。Claude Code能够从头生成FPGA配置这一事实表明,该模型已经内化了数字逻辑设计的原理,而不仅仅是模式匹配代码片段。
| 攻击阶段 | 人类专家时间 | Claude Code时间 | 关键差异 |
|---|---|---|---|
| 参数提出 | 2-4小时(试错) | 2分钟 | AI利用芯片行为的内部知识 |
| FPGA位流编写 | 4-8小时(Verilog调试) | 5分钟 | AI直接生成可综合代码 |
| 主机脚本编写 | 1-2小时 | 30秒 | AI处理串行/GPIO协议 |
| 首次失败调试 | 1-3小时(示波器分析) | 10秒(日志分析) | AI即时读取串行输出 |
| 成功攻击总时间 | 8-17小时 | 约8分钟 | 60-120倍加速 |
数据要点: 该表格展示了攻击开发时间线的急剧压缩。最令人印象深刻的提升在于调试:人类需要用示波器探测,而AI可以在几秒钟内解析文本日志并调整参数。这表明,AI驱动的硬件攻击的瓶颈已不再是认知工作,而是物理设置(例如将FPGA连接到目标设备)。
关键参与者与案例研究
这项研究由一个尚未公开命名的团队进行,但方法论直接与Anthropic的Claude Code工具相关。Anthropic将Claude定位为“安全”的AI助手,但这次演示揭示了一个根本性的紧张关系:使Claude对调试固件有用的相同能力可以被武器化。
目标设备是一颗STM32F4微控制器,这是物联网设备、医疗设备和汽车系统中常见的部件。安全启动实现是标准的STM32 ROM引导加载程序,它检查闪存第一个扇区上的签名。这是硬件黑客社区中一个众所周知的目标——之前曾使用ChipWhisperer和其他工具攻击过——但从未由AI完成。
硬件安全AI领域的其他知名参与者包括:
- Google的Project Zero:虽然专注于软件,但他们最近发表了使用LLM发现内存损坏漏洞的研究。向硬件的跳跃是一个自然的延伸。
- MIT的CSAIL:研究人员使用强化学习来优化故障注入参数,但他们的工作需要自定义模拟器和数千次试验。Claude Code做到了