百万AI服务裸奔!一周3个满分漏洞,安全圈正在重新洗牌

本周的网安圈，不太平。 

3个CVSS满分漏洞同周爆发，其中一个从披露到武器化只用了20小时。超过100万个AI服务裸奔在公网上，连密码都没设。NVIDIA被供应链攻击，第三方合作伙伴被黑了整整2个月才发现。 

而另一边，OpenAI发布了GPT-5.5-Cyber，Anthropic推出了Claude Mythos——AI开始帮人类找漏洞了。 

好，让我们把本周最值得关注的事一件一件说清楚。 

壹 | 百万AI服务裸奔 

5月5日，英国安全公司Intruder发布了一份报告，直接引爆了整个安全圈。 

说白了，就是无数企业在疯狂追AI风口的时候，把自家的AI服务直接扔到了公网上，连门都没装。任何人都可以直接访问、操控、甚至篡改这些AI服务。 

这不是个别现象，是行业性的集体裸奔。 

内行怎么看？当所有人都在说"AI是未来"的时候，很少有人意识到——AI基础设施的安全水位，可能比传统IT还低。大家忙着抢跑，却忘了穿鞋。

贰 | 一周3个满分漏洞 

CVSS满分是10.0，意思是"最严重"。正常情况下，几个月甚至一年才出一个。本周一口气出了3个。 

这三个漏洞有个共同特点：都不需要认证就能远程利用。翻译成人话就是——只要你的系统暴露在网络上，攻击者可以直接打进来，不需要账号、不需要密码、不需要你点任何链接。 

更可怕的是Langflow的案例。从漏洞披露到野外武器化，只用了20个小时。以前安全团队还有几天甚至几周的响应时间，现在连一天都不到。 

叁 | NVIDIA被供应链偷了2个月 

NVIDIA的云游戏平台GeForce Now，通过一个亚美尼亚的第三方合作伙伴GFN.am被攻破。 

攻击者3月9日就进去了，整整2个月之后（5月2日）才发现。期间用户邮箱、电话、生日、双因素认证元数据全部暴露。 

NVIDIA说"我们自己的系统没被黑"。但用户不这么想——用户只知道"我在NVIDIA注册的信息被泄露了"。 

肆 | AI开始帮人找漏洞了 

这周最有意思的对冲——攻击面在崩溃，但防御面也在进化。 

OpenAI发布了GPT-5.5-Cyber，专门用于渗透测试和漏洞发现，只对"可信网络防御者"开放。 

更猛的是Anthropic的Claude Mythos Preview——能力级别被标记为"Critical"（比GPT-5.5-Cyber还高），能自主发现数千个零日漏洞，还能自主串联4个漏洞完成利用链。只面向40+科技公司联盟。 

世界经济论坛的报告更直接：94%的安全领导者认为AI是当前安全领域变革最大的驱动力。

但Anthropic CEO在5月6日也发出了严厉警告：AI正在揭露数以万计的软件漏洞，其中部分已存在数十年。AI正在显著放大安全风险规模。 

翻译一下：AI既能帮你找漏洞，也能帮黑客找漏洞。这是一把真正的双刃剑。 

伍 | 给安全从业者的3个信号 

如果你是安全行业的从业者，本周的信号很清楚： 

第一，AI安全是一个真风口。百万AI服务裸奔、AI Agent 91%有漏洞、AI框架漏洞20小时武器化——这不是概念炒作，是真真切切的安全危机。AI安全产品和服务，正处于从"可选项"变成"必选项"的拐点。 

第二，供应链安全需求在爆发。NVIDIA事件再次证明，大型企业对供应链安全管理的投入会持续增加。如果你在做安全销售，供应链安全管理方案可能是你今年最好的切入点。 

第三，响应窗口在急剧缩短。20小时武器化的时代，安全运营必须从"人驱动"转向"AI驱动"。SOC自动化、AI降噪、自动响应——这些不再是PPT上的概念，而是真金白银的市场。 

数据来源：Intruder《全球AI基础设施安全测绘报告》、CVE漏洞数据库、NVIDIA官方声明、CNCERT周报、世界经济论坛《2026全球网络安全与AI趋势报告》、Gartner《2026网络安全重要趋势》。以上分析基于公开信息，仅供参考。 

 | 往期回顾

【每日一家】绿盟科技深度解析：连续19年参展RSAC，入职前必看

【每日一家】启明星辰深度解析：被中国移动23亿"娶回家"，入职前必读

【每日一家】奇安信深度解析：行业龙头连年亏损，入职前必读

【每日一家】深信服深度解析：Q1增收29%，入职前必读

网安行业2026大洗牌：有人融资5亿，有人裁员15%，内行人看到的真相

连续11个季度下滑！6大网安巨头2026 Q1最新成绩单

AI时代，销售的核心竞争力正在悄悄发生变化

AI来袭，销售何去何从？