当前位置:首页 > 信息安全 > 正文

把Qwen3.7-Max丢进被攻击的服务器,它竟查出了暴力破解!

网安人看完沉默了!Qwen3.7-Max被丢进一台正在被攻击的真实服务器,零人工干预,自己查出了暴力破解




AI YouTuber Fahd Mirza 做了一件让安全圈脊背发凉的事。

他把阿里云刚发布不到24小时的 Qwen3.7-Max,接入 agent 框架 OpenClaw,然后扔进了一台真实运行的 Ubuntu 服务器。只发了一条 prompt:"检查这台服务器,自主规划步骤,生成完整健康情报报告。"

没有脚本。没有手把手。没有中途纠正。

几分钟后,模型交出的报告让所有网安从业者坐不住了。活跃的远程 SSH 会话、暴露的公网端口、auth.log 里的异常登录记录——以及正在发生的暴力破解攻击,全部被自动揪出。

更让人冒冷汗的是:它不止诊断,还把修复指令写好了。ufw 封禁 IP、fail2ban 规则、ssh_config 加固建议,复制粘贴就能执行。

把Qwen3.7-Max丢进被攻击的服务器,它竟查出了暴力破解!  第1张把Qwen3.7-Max丢进被攻击的服务器,它竟查出了暴力破解!  第2张

▲ Fahd Mirza 推文:Qwen3.7-Max 通过 OpenClaw 接入真实服务器,自主完成安全诊断与 Python 代码重构,零人工干预

一台真实服务器,一个 prompt,全程无人碰键盘

Fahd 的操作流程极其简单。一行命令安装 OpenClaw,从阿里云 Model Studio 拿一个 API Key,编辑配置文件指向 Qwen3.7-Max(新加坡节点,thinking mode 开启,1M token 上下文窗口),然后打开终端,输入那句唯一的 prompt。

接下来他双手离开键盘。

模型自己开始思考、规划步骤、调用系统工具。它去读了/var/log/auth.log,跑了ss -tuln看开放端口,检查了last登录记录,扫描了当前活跃会话和 SSH 连接,拉取了 CPU 和内存负载数据。

每一步都是它自己决定的。没有人告诉它"先看日志,再看端口,再做关联分析"。

输出报告自带评分体系。活跃 SSH 会话被标注,Fahd 看到远程 IP 的那一刻自己都惊了——"我不知道那个家伙是谁。"

"Uh found an active SSH session from a some, you know, remote IP, which is correct... someone else was also accessing it."

「它发现了来自某个远程 IP 的活跃 SSH 会话……确实有别人也在访问这台服务器。」

连接来源被逐一列出,开放端口和对应服务全部暴露,成功登录记录一一在册,安全威胁做了分类标注。

"This is not a toy demo. That is a real security audit on a real server done autonomously with zero guidance from us after the initial prompt."

「这不是玩具演示。这是在真实服务器上,由 AI 自主完成的真实安全审计,初始 prompt 之后零指导。」

把Qwen3.7-Max丢进被攻击的服务器,它竟查出了暴力破解!  第3张

▲ YouTube 视频页面:标题和描述明确标注"autonomously diagnose a real server",全过程有完整录屏

给 AI 一双"手":OpenClaw 在中间做了什么

一个问题自然冒出来:光靠语言模型,怎么就能在真实 Linux 服务器上跑命令、读文件、扫描端口?

关键在 OpenClaw。

这个 2026 年爆火的 agent 框架,本质上是一个个人 AI 操作系统。它远不止聊天——它给了模型持久记忆、全文件系统访问、Shell 执行权限、浏览器控制,甚至能接 Telegram 和 WhatsApp 做交互入口。

Fahd 的配置逻辑很简单:让 OpenClaw 成为 Qwen3.7-Max 的"手和眼"。模型负责思考和决策,OpenClaw 负责执行和反馈。模型说"我要看 auth.log",OpenClaw 就跑cat /var/log/auth.log,把输出喂回给模型。模型说"这个 IP 可疑,查一下它的连接记录",OpenClaw 就去跑 netstat 和 whois。

循环往复。全部自主。

它突破了单次问答模式,进入了持续的多轮工具调用链。模型在前一步发现的东西,会自动成为下一步决策的上下文。1M token 的上下文窗口保证它不会"遗忘"——五分钟前发现的异常 IP,五分钟后依然在推理范围内。

OpenClaw 社区里塞满了真实用户案例:有人用它自主处理邮件和日程,有人让它管理服务器日常运维,有人从手机端发指令让家里的机器跑任务。Fahd 选它做安全审计,因为这套框架确实能在真实环境中稳定执行复杂操作链。

把Qwen3.7-Max丢进被攻击的服务器,它竟查出了暴力破解!  第4张

▲ OpenClaw 官网:一键安装、全系统访问、持久记忆,社区用户评价"它在运营我的公司"

全链路还原:模型到底查了什么

不熟悉 Linux 安全审计的读者,可以对照下面这条操作链,看看 Qwen3.7-Max 实际执行了哪些步骤:

连接面检查ss -tuln列出所有监听端口。22 端口(SSH)暴露在公网上——暴力破解的首要目标。

认证日志深挖cat /var/log/auth.log | grep 'Failed password'抓取所有失败登录尝试,统计频率和来源 IP。这一步直接锁定了"有人在撞密码"的证据链。

成功登录回溯lastlastb交叉比对,判断攻击者是否已经突破。

当前会话快照whownetstat -anp | grep sshd,实时画像——此刻谁在这台机器上。

进程与负载ps auxtop,排查异常进程、挖矿脚本或后门。

防火墙状态ufw statusiptables -L,确认现有防线。

关联推理:把以上信息串起来——某 IP 过去一小时有 200 次失败登录,来自东南亚某国,22 端口完全暴露→高风险,建议立即封禁并配置 fail2ban。

这些步骤,每一项都是安全工程师的日常 SOP。区别在于:一个初级分析师走完这条链可能需要半小时到一小时,模型在几分钟内跑完全程,不疲劳、不遗漏、不会因为任何原因跳过某一步

Fahd 在视频里反复念叨一个词——"gold mine"(金矿)。这份报告如果灌进任何 SIEM 或 SOC 工作流,就是即战力。

需要指出一个硬边界:模型的能力建立在它能访问的数据之上。如果攻击者已经清理了日志、走了加密隧道,或者攻击类型不在标准 Linux 日志体系内(内存驻留、业务逻辑攻击、APT),模型和人类一样会盲掉。它本质上是沿着成熟的安全操作链,靠速度和完整度跑出了"看起来像魔法"的效果。

不止安全审计:80 行烂代码拆成 8 个生产级模块

安全审计跑完后,Fahd 立刻给了模型第二个任务。

目标是一个app.py文件:80 行,单文件,硬编码密码,没有错误处理,没有模块拆分。

指令不变:自己规划,自己动手,零指导。

Qwen3.7-Max 读了文件内容,理解整体逻辑,然后把一个泥巴球拆成了 8 个独立模块——路由、配置、错误处理、数据层、工具函数各归其位。硬编码密码提取到环境变量,异常捕获全部补上,代码结构从"能跑"变成了"能上生产"。

全程零人工介入。模型自己决定了拆分的粒度和模块边界。

这不是"写个 hello world"级别的演示。它要求真实的工程判断:代码理解、模块化设计、安全实践和文件系统操作,四者缺一不可。

Qwen3.7-Max:凭什么它能做到

Fahd 的演示确实震撼,但模型的能力有清晰的来源。

2026 年 5 月 21 日,阿里云正式发布 Qwen3.7 系列,官方博客标题直接甩出——"Qwen3.7: The Agent Frontier",定位精准:agent 时代的旗舰模型。

最硬核的数据来自官方自己的长时间压力测试。Qwen3.7-Max 被丢进一台它从未见过的 T-Head ZW-M890 PPU 硬件,要求自主优化内核性能。结果它用35 小时完成了 1158 次工具调用,进行 432 次内核评估,最终实现10 倍性能加速

35 小时。一千多次工具调用。没有停摆。没有提前结束。没有在中间某一步之后"忘记自己在做什么"。

这就是 1M token 上下文窗口叠加 thinking mode 的威力。模型在长周期任务中保持推理连贯性,每一步工具返回的结果都成为下一步决策的输入,不会因为上下文窗口不够而丢失早期发现。

"Today we introduce Qwen3.7-Max, our most powerful proprietary model made for the Agent Era."

「今天,我们发布 Qwen3.7-Max——面向 Agent 时代打造的最强专有模型。」

把Qwen3.7-Max丢进被攻击的服务器,它竟查出了暴力破解!  第5张

▲ 阿里云官方博客:明确列出 OpenClaw 支持、35 小时自主内核优化记录、跨框架一致性

官方反复强调一个特性:Scaffold-agnostic——跨 agent 框架的稳定性。不管你是用 OpenClaw、Claude Code、Qwen Code 还是自建框架,模型表现一致可靠。这点在 Fahd 的演示里得到了直接验证。

基准测试成绩也足够说明问题:Terminal-Bench 2.0 得分 69.7,SWE-Bench Verified 80.4,MCP-Mark 60.8,GPQA Diamond 92.4。长周期执行能力加上跨框架泛化能力,才是 Fahd 敢拿真实服务器来测的底气。

把Qwen3.7-Max丢进被攻击的服务器,它竟查出了暴力破解!  第6张把Qwen3.7-Max丢进被攻击的服务器,它竟查出了暴力破解!  第7张

▲ @Alibaba_Qwen 官方推文:agent 时代旗舰模型,强调跨框架、长周期自主能力

网安人的工作方式,正在被改写

演示发布后,中文安全圈立刻沸腾了。很多人的焦虑很现实:如果 AI agent 几分钟内做完初级安全分析师半小时的活,SOC 一线 triage、日志巡检、基线检查这些岗位内容会怎么变?

先看事实。这次演示证明了以下能力可以被 agent 批量接管一部分:

  • 日志巡检与关联分析

    :auth.log、syslog、nginx 日志的异常模式识别,模型不累、不烦、不跳步。
  • 暴露面扫描

    :端口、服务、防火墙规则的系统性检查,一次性全覆盖。
  • 基线安全评估

    :SSH 配置、密码策略、权限审计的标准化检查。
  • 初级事件 triage

    :从海量告警中快速过滤出真正可疑的信号。

这些都是安全运营中心(SOC)里最消耗人力的重复性工作,模型确实能做得更快、更全面。

但换个角度看,这次演示也暴露了 agent 的根本局限:

权限悖论。要让 agent 做安全审计,你得先给它 root 级别访问权限。这意味着你亲手打开了一扇更大的门——如果 prompt injection 或 tool 滥用发生,攻击面反而扩大了。

误判风险。Fahd 自己都承认"我不知道那个家伙是谁"——模型标注的"可疑 IP"可能是合法的远程管理连接。在真实生产环境里,误封一个正常 IP 造成的业务损失,可能比漏掉一个攻击者更大。

盲区存在。没有日志就没有分析。APT 攻击、0day 利用、内存驻留后门、供应链投毒——这些不在标准 Linux 日志表层的威胁,agent 和初级分析师一样无能为力。

合规与责任真空。谁为 agent 做出的封禁决策签字?审计 trail 怎么写?数据驻留和隐私合规怎么保证?这些问题的答案还没出来。

网络安全这个行业不会被消灭,但工作方式的底层逻辑正在被重写。初级重复劳动会被快速压缩,高级判断力和策略设计正在升值。

会用 agent 做安全审计的人,跟只会手动查日志的人,价值差距只会越拉越大。未来网安工程师的核心能力,会变成一套新组合拳:知道该让 agent 查什么、怎么验证它查得对不对、agent 查不出来的东西从哪里入手。

这次演示最值得关注的,是那条越画越清晰的轨迹:从"AI 能聊天",到"AI 能写代码",再到"AI 能在真实服务器上自主完成复杂安全审计并产出可执行修复方案"。每一步的间隔正在急剧缩短。

你手里多了一把不用睡觉、不会遗漏、几分钟扫完一台服务器全貌的刀。能不能用好,是你的事了。