安全研究员伊恩·卡罗尔(Ian Carroll)在今年4月利用AI工具Claude Opus 4.7发现了一种技术,能够完全访问Front Gate Tickets的系统。Front Gate负责几乎所有美国主要音乐节的票务,包括Lollapalooza、South by Southwest和Austin City Limits等。卡罗尔发现,Front Gate(与Ticketmaster同属Live Nation Entertainment旗下)的网站存在漏洞,借助Claude的帮助,他能够利用该漏洞访问数百万客户和员工记录,并自由为自己或他人发行任何价值的门票。

卡罗尔表示:“看到一张价值4000美元的门票,我只需按一个按钮就能发行任意数量,感觉非常酷。我可以参加每一个活动,没有任何限制或约束,甚至能拿到后台通行证或超级VIP门票——即使这些票已经售罄。”

不过,卡罗尔并未滥用这一能力,而是将漏洞报告给了Front Gate。Front Gate表示已修复该漏洞,并在回应中感谢卡罗尔的报告,称此次事件是一次成功的合作,提升了其安全性。声明中写道:“问题在24小时内得到解决,我们确认没有证据显示漏洞被利用、门票受影响或客户信息泄露。该漏洞由一名负责任的安全研究员发现,他使用AI辅助工具绕过了标准防火墙安全控制,访问了用于音乐节场馆入口扫描的内部API,而非面向消费者的系统或公共登录门户。”

尽管漏洞已修复,这一事件仍显示出AI在互联网各个领域发现安全漏洞的强大能力。卡罗尔是Anthropic网络验证计划的一员,该计划允许获批安全研究员使用其工具进行特定的黑客测试。他表示,Claude轻松提出了突破Front Gate网站的关键技术令他震惊,“我认为Claude完全有可能在我不做任何操作的情况下,端到端地发现这个漏洞。”

Anthropic回应称:“我们创建网络验证计划,旨在让防御者获得先进的安全能力,进行此类研究以提升全球代码安全。”并补充道,如果卡罗尔不是该计划成员,他使用Claude攻击Front Gate系统的行为将被检测并阻止。

Front Gate发言人向WIRED表示,公司安全措施限制了个人信息的暴露,任何员工账户变更都会触发警报,伪造门票发行会留下审计痕迹,且黑客发行的门票会被识别并取消,防止使用。公司称,甚至在卡罗尔联系其安全团队之前就已检测到他的网络访问。

卡罗尔指出,Front Gate并未声称有证据表明该漏洞此前未被利用。此外,卡罗尔在向Front Gate分享博客草稿后,Front Gate确认了他的发现,并未否认他能够随意生成门票。Front Gate还补充说明,许多高价值和VIP门票需要通过无法在线生成的RFID腕带验证,因此黑客无法发行此类门票。

卡罗尔最初注意到Front Gate是在几个月前,当时他考虑参加家乡拉斯维加斯的电子舞曲盛会Electric Daisy Carnival。他发现该节目的票务由Front Gate负责,进一步调查发现除了Coachella外,几乎所有主要美国音乐节的票务都由该公司掌控。“这就像音乐节的Ticketmaster,他们基本上垄断了市场。”

作为专注于网站漏洞的安全研究员,卡罗尔开始在Front Gate网站寻找漏洞。他很快发现了疑似SQL注入漏洞,这是一种常见的安全缺陷,允许黑客通过网站文本框输入命令,执行后台操作并可能获取数据库数据。但网站的网络应用防火墙阻止了他的利用尝试。

于是他求助于Claude Opus 4.7——当时Anthropic向公众开放的最先进AI模型,Claude迅速编写了绕过防火墙的攻击代码。卡罗尔说:“这是我第一次遇到自己不完全理解的漏洞,我不得不回头仔细阅读Claude写的代码,因为那是它独立完成的。”

Claude发现通过“嵌套SQL查询”可以绕过防火墙检测。很快,AI工具写出脚本,展示了500个数据库中客户信息的样本。卡罗尔认为,该漏洞可能让攻击者访问数百万客户的姓名、邮箱和邮寄地址(但不包括信用卡信息)以及Front Gate员工数据。

利用员工数据,卡罗尔发现他可以接管员工账户。他找到超级管理员账户,点击重置密码选项,获取了存储在网站后台的重置代码,成功重置密码并控制了管理员账户。

随后,他查看了Bonnaroo音乐节最贵的门票,并将其添加为免费票到购物车。“看起来你可以为任何活动这样做。”卡罗尔说。(他未完成订单以避免违法。)

卡罗尔惊讶于接管方法的简单:没有双因素认证,泄露、盗用或猜测密码即可完全访问账户。“所有音乐节的门票都由这家集中公司发行,即使没有漏洞,只要知道密码,也能登录并免费发行门票。”

更令人担忧的是,Front Gate似乎未对其网站进行充分的漏洞审计,无论是人工还是AI辅助的漏洞扫描都缺失,使得漏洞被轻易发现。

卡罗尔总结:“当你认为这些专业音乐节和网站管理得很好时,实际上它们的安全就像用胶带和祈祷维系一样。”

更新:2026年7月1日,美国东部时间下午4:56,本报道新增Front Gate关于RFID腕带的说明,并澄清了卡罗尔访问Front Gate网络的相关细节。