← 返回新聞列表
研究突破 2026年2月12日 閱讀時間:9 分鐘

當 AI 成為漏洞獵人:零日漏洞發現進入機器時代

從 OpenSSL 的 12 個零日到 DARPA 挑戰賽的自主修補,AI 正在根本性地改變網絡攻防的力量平衡

網絡安全領域正在經歷一場靜默的革命。在過去的幾個月裡,AI 系統已經從一個輔助工具演變為能夠獨立發現和分析零日漏洞的強大力量。Anthropic 的 Claude Opus 4.6 發現了 500 多個高嚴重性漏洞,AISLE 的 AI 系統在 OpenSSL 中找到了所有 12 個零日漏洞,DARPA 的自主系統在 45 分鐘內修補了 61% 的發現。2026 年標誌著 AI 網絡安全從理論可能性轉變為實際操作能力。

三個里程碑事件

AISLE 與 OpenSSL:百分百命中率

2026 年 1 月 27 日,OpenSSL 宣布了一次新的安全補丁發布,修復了 12 個新發現的零日漏洞,包括一個極為罕見的高嚴重性漏洞。令人震驚的是,這 12 個漏洞全部由 AISLE 的 AI 系統發現——百分百的命中率。

這在安全研究歷史上極為罕見。OpenSSL 是全球互聯網安全基礎設施的核心組件,已經經過無數安全研究者的審計。AI 能夠在這樣一個被反覆檢查的代碼庫中找到 12 個零日漏洞,充分說明了機器在代碼分析方面已經達到了超越人類的水平。

AI 網絡安全里程碑一覽

  • AISLE / OpenSSL:發現 12/12 個零日漏洞(100% 命中率),累計發現 15 個 CVE
  • Anthropic Claude Opus 4.6:在開源代碼庫中發現 500+ 高嚴重性漏洞
  • Trend Micro ÆSIR:在 NVIDIA、騰訊、MLflow 等平台發現 21 個關鍵 CVE
  • DARPA AI 挑戰賽:自主系統發現 18 個零日漏洞,45 分鐘內修補 61%

Anthropic 的意外發現

Claude Opus 4.6 在網絡安全方面的表現是一個意外的驚喜。Anthropic 透露,其最新模型在幾乎無需專門引導的情況下,在成熟的開源代碼庫中發現了 500 多個此前未知的高嚴重性安全漏洞。公司已開始向相關項目報告這些漏洞,初步的補丁已經開始落地。

這一發現的特殊之處在於它的「無引導」特性。Claude 並不需要專門的安全審計提示或特殊的掃描框架——通用的語言模型能力本身就足以識別複雜的代碼漏洞。

Trend Micro ÆSIR 平台

Trend Micro 推出的 ÆSIR 平台則代表了另一種方法——將 AI 自動化與人類專業知識相結合。自 2025 年中期以來,ÆSIR 已在 NVIDIA、騰訊、MLflow 和 MCP 工具等行業領先平台中發現了 21 個關鍵漏洞。

DARPA 挑戰賽:自主攻防的未來

DARPA AI 網絡挑戰賽的結果更具前瞻性。在這場比賽中,完全自主的 AI 系統不僅發現了 18 個零日漏洞,還在 45 分鐘內自動修補了其中的 61%——全程無人干預。

這一結果預示了網絡安全的未來:AI 系統不僅能發現漏洞,還能自動生成和部署修補程序。對於面臨持續安全威脅但缺乏足夠安全人員的組織而言,這可能是變革性的。

雙刃劍:防禦者與攻擊者的軍備競賽

AI 在漏洞發現方面的能力是一把明確的雙刃劍。同樣的技術既能被防禦者用來提前發現和修復漏洞,也能被攻擊者用來尋找和利用漏洞。

攻擊端的威脅升級

安全專家警告,隨著大語言模型在推理、代碼理解和多步驟規劃方面的能力飛速提升,2025 年末至 2026 年初發布的模型已展現出在發現和利用零日漏洞方面的質的飛躍。

Thales/Imperva 的研究人員警告稱,「即使是成熟的系統也仍然暴露在 AI 加速的發現和利用之下」。他們預測,漏洞從披露到被武器化的時間差在 2026 年可能縮短至數分鐘。

「漏洞發現和利用曾經是一項需要數週甚至數月的專業工作。現在,AI 正在將這一時間壓縮到數小時甚至數分鐘。這從根本上改變了攻防雙方的時間博弈。」

垃圾報告的泛濫

AI 在安全領域的應用也帶來了意想不到的副作用。curl 項目因不堪 AI 生成的大量垃圾漏洞報告而取消了其漏洞賞金計劃——即使 AISLE 確實向它們報告了 5 個真實的 CVE。

這一現象揭示了 AI 安全工具的悖論:AI 同時在壓低中位數水平(產生大量低質量的「垃圾」報告)和抬高上限(發現真正的關鍵基礎設施零日漏洞)。如何過濾垃圾、留下真金,成為安全社區面臨的新挑戰。

漏洞披露規範面臨重塑

當前行業標準的 90 天漏洞披露窗口是在人類研究者時代建立的。當 AI 可以在數小時內發現漏洞,而攻擊者同樣可以用 AI 快速發現和利用相同漏洞時,90 天的窗口是否仍然合適?

安全社區正在討論是否需要建立新的披露規範,以適應 AI 時代的速度。一些人主張大幅縮短披露窗口,另一些人則擔心這會給維護者帶來不切實際的時間壓力。

2 月 Patch Tuesday:威脅的現實

Microsoft 在 2026 年 2 月的 Patch Tuesday 更新中修復了約 60 個漏洞,其中包括 6 個正在被活躍利用的零日漏洞。Google 一直在追蹤由商業間諜軟件供應商、國家級 APT 組織和以營利為目的的網絡犯罪分子發起的涉及此類零日漏洞的攻擊活動。

這些數據提醒我們,零日漏洞的威脅不是理論上的——它每天都在發生。AI 工具的出現,使得這場攻防戰的節奏正在急劇加快。

對香港企業的安全啟示

香港作為國際金融和商業中心,其企業面臨的網絡安全威脅日益複雜。AI 網絡安全工具的發展為本地企業提供了新的防禦選項,但也帶來了新的風險。

對於香港企業而言,幾點建議值得考慮:

  • 評估 AI 安全工具:考慮將 AI 驅動的漏洞掃描工具納入安全審計流程
  • 加快修補週期:隨著漏洞被利用的速度加快,企業需要縮短從發現到修補的響應時間
  • 審視開源依賴:使用 AI 工具審查組織對開源軟件的依賴,特別是關鍵基礎設施中的組件
  • 培養 AI 安全人才:投資於能夠使用和管理 AI 安全工具的專業人員

在 AI 正在重塑網絡攻防格局的當下,被動等待已不再是一個可行的選項。早期採納 AI 安全工具的組織將在這場新的軍備競賽中佔據先機。

本文要點總結

  • AISLE AI 發現 OpenSSL 全部 12 個零日漏洞(100% 命中率)
  • Claude Opus 4.6 在無引導情況下發現 500+ 開源高嚴重性漏洞
  • DARPA 自主系統 45 分鐘內發現 18 個零日並修補 61%
  • 漏洞從披露到武器化的時間可能縮短至數分鐘
  • curl 因 AI 垃圾報告泛濫取消漏洞賞金計劃
  • 行業 90 天披露窗口面臨重新評估壓力