近期，一项由人工智能系统独立完成的安全研究引发了科技界广泛关注。该系统在2025年12月至2026年1月期间，在没有人类干预的情况下，自主执行了完整的安全研究流程，成功发现了Node.js和React这两个全球部署最广泛的JavaScript生态核心组件中的真实零日漏洞。其中，Node.js的漏洞涉及通过Unix套接字实现的沙箱逃逸，而React的漏洞则可能导致任何基于Next.js构建的应用程序崩溃的拒绝服务攻击。尤为值得注意的是，该AI系统将大型语言模型通常被视为缺陷的“幻觉”特性，转化为了发现安全漏洞的独特优势——通过生成传统扫描工具难以想象的创造性攻击场景，从而识别出常规方法可能遗漏的深层安全隐患。这一突破不仅展示了AI在自动化安全研究领域的巨大潜力，更可能预示着未来软件安全审计与漏洞挖掘工作流程的根本性重构。