安全研究员伊恩·卡罗尔(Ian Carroll)在今年4月利用AI工具Claude Opus 4.7,发现了一种技术漏洞,使他能够完全访问Front Gate Tickets的系统。Front Gate Tickets负责几乎所有美国主要音乐节的票务工作,包括Lollapalooza、South by Southwest和Austin City Limits等。卡罗尔发现,这家与Ticketmaster同属Live Nation Entertainment旗下的公司,其网站存在一个漏洞,借助Claude的帮助,他能够利用该漏洞访问数百万客户和员工的记录,并自由为自己或他人发行任何价值的门票。
卡罗尔表示:“看到一张价值4000美元的门票,我只需按一个按钮,就能发行任意数量的票,这感觉非常酷。我可以无限制地参加每一个活动,甚至获得后台通行证或超级VIP票,即使活动已经售罄。”
不过,卡罗尔并未滥用这一能力,而是将漏洞报告给了Front Gate。该公司表示已修补了该漏洞,并在接受采访时感谢卡罗尔的报告,称此次事件是一次成功的合作,提升了其安全性。声明中写道:“问题在24小时内得到解决,我们确认没有证据显示漏洞被利用、门票受影响或客户信息泄露。该漏洞是由一位负责任的安全研究员利用AI辅助工具绕过标准防火墙安全控制,访问了用于音乐节场馆入口扫描的内部API,而非面向消费者的系统或公共登录门户。”
尽管漏洞已修复,此事件仍展示了AI在挖掘互联网各个领域潜在安全漏洞方面的强大能力。卡罗尔是Anthropic的网络验证计划成员,该计划允许获批的安全研究员使用其工具进行特定的安全测试。卡罗尔表示,他对Claude轻松提出突破Front Gate网站关键技术的能力感到震惊:“我认为Claude完全有可能在我不做任何操作的情况下,端到端地发现这个漏洞。”
Anthropic回应称,其网络验证计划旨在为防御者提供先进的安全能力,帮助他们开展此类研究以提升全球代码安全。公司还表示,如果卡罗尔未参与该计划,他使用Claude攻击Front Gate系统的行为会被检测并阻止。
Front Gate发言人向WIRED表示,公司安全措施限制了个人信息的暴露,任何员工账户的变更都会触发警报,伪造门票的发行会留下审计痕迹,且黑客发行的门票会在使用前被识别并取消。公司称,甚至在卡罗尔联系其安全团队之前,就已检测到其网络访问。
卡罗尔指出,Front Gate并未声称有证据证明该漏洞此前未被利用。事实上,在卡罗尔向公司分享了其发现的博客草稿后,Front Gate确认了他的发现,并未否认他能够随意生成门票。该公司还补充说明,许多高价值和VIP门票需要通过无法在线生成的RFID腕带验证,因此黑客无法发行此类门票。
卡罗尔最初注意到Front Gate是在几个月前,当时他考虑参加家乡拉斯维加斯举办的大型电子舞曲节Electric Daisy Carnival。他发现该节目的票务由Front Gate负责,进一步调查后发现,除了Coachella,几乎所有主要美国音乐节的票务都由该公司垄断。他回忆道:“这就像音乐节的Ticketmaster,基本上是垄断了市场。”
作为一名专注于发现网站漏洞的安全研究员,卡罗尔开始在Front Gate网站域名下寻找漏洞。他很快发现了一个疑似SQL注入漏洞,这是一种常见的安全缺陷,允许黑客通过网站文本输入框注入命令,进而在后台执行并返回数据库中的数据。但网站的网络应用防火墙阻止了他的利用尝试。

于是他请求Claude Opus 4.7帮助寻找绕过防火墙的方法。Claude迅速编写了一个绕过防火墙的攻击代码。卡罗尔说:“这是我第一次遇到一个漏洞,我自己完全不理解它。我不得不回头仔细阅读Claude写的代码,因为那是Claude独立完成的。”
Claude发现,通过“嵌套SQL查询”(一个SQL查询嵌套在另一个查询中)可以绕过防火墙检测。很快,AI工具写出了一个脚本,展示了500个数据库中暴露的客户信息样本。卡罗尔估计,该漏洞可访问数百万客户的信息,包括姓名、电子邮件和邮寄地址(不包括信用卡信息),以及Front Gate员工的数据。
获得员工数据后,卡罗尔发现他还可以接管员工账户。他找到了超级管理员账户,点击重置密码选项,找到了存储在网站后台的管理员邮箱中发送的重置代码,随后用该代码确认重置,设置新密码,成功接管了管理员账户。
随后,他查看了Bonnaroo音乐节最贵的门票,并将其添加为免费票到购物车中。卡罗尔说:“看起来你可以为任何你想参加的活动这样做。”(他并未完成订单或发行门票,以免触犯法律。)
卡罗尔对这种接管方式的简单性感到惊讶:没有双因素认证,泄露、盗用或猜测密码即可获得完全访问权限。他说:“所有音乐节的门票都由这家集中公司发行,即使没有这个漏洞,只要知道密码,也能直接登录并免费发行门票。”
更令人震惊的是,卡罗尔认为Front Gate似乎没有通过人工或AI工具对其网站进行充分的漏洞审计,这使得漏洞的发现变得异常容易。
他说:“当你认为这些专业的音乐节和专业的网站管理得很好时,实际上你一旦获得访问权限,就会发现它们的安全就像用胶带和祈祷维系一样。”
更新:2026年7月1日,美国东部时间下午4:56,本报道新增了Front Gate关于RFID腕带的信息,并澄清了卡罗尔访问Front Gate网络的相关细节。


