夜雨聆风在人工智能(AI)的强力驱动下,全球软件安全漏洞正以前所未有的速度被发现。科技巨头微软近期发布的补丁规模,为此趋势提供了鲜明注脚。
补丁“海啸”来袭,年度纪录岌岌可危
微软在2026年5月的“补丁星期二”一次性发布了针对超过130个安全漏洞的更新。这已是连续第二个月补丁数量破百(4月修补了173个)。仅在本年度前五个月,微软累计修补的漏洞数量已突破500大关,正朝着打破其自身年度漏洞修复纪录的方向迈进。
微软安全响应中心工程副总裁汤姆·加拉格尔坦承,补丁数量的激增与AI的普及直接相关。他在官方博客中写道:“微软工程师乃至整个安全社区,正越来越多地利用AI工具,以前所未有的细度和频率审查代码。这从根本上改变了漏洞发现的规模与速度。”
内部AI武器登场,自主发现高危漏洞
为应对这一挑战,微软自身也在积极部署AI。本周,微软高调展示了一套内部代号为MDASH的全新AI安全系统。该系统仅在5月份就独立发现了16个微软产品中的未知漏洞,其中4个被评定为“严重”级别,且均未被人类研究员率先找到。
为验证MDASH的可靠性,微软进行了一项“回溯性复现测试”:将过去五年由人类研究员在Windows两个核心组件中发现并确认的真实漏洞作为考题。结果显示,MDASH成功复现了其中一个组件中96%的已知漏洞,在另一个组件中更是达到了100%的复现率。
微软对此评价道:“我们已迈入新阶段:AI驱动的漏洞发现不再是理论,而是实实在在的工程现实。”
行业集体转向,AI驱动漏洞发现成常态
微软并非孤例。整个科技行业都已卷入这场由AI驱动的漏洞发现浪潮:
苹果已获得AI公司Anthropic开发的“玻璃翼项目”的早期使用权,用于检测代码漏洞。其在5月发布的更新中修复了52个漏洞。
甲骨文同样参与“玻璃翼项目”,并因此将关键安全补丁的发布周期从季度缩短为月度。
谷歌在5月为Chrome浏览器发布了127个安全修复,数量远超上个月的30个。
英国国家网络安全中心上月已发出预警,呼吁各组织为AI驱动下更频繁的紧急软件更新做好准备。
高危漏洞频出,安全形势日趋复杂
在本批微软补丁中,数个高危漏洞值得关注:
CVE-2026-41089 (CVSS 9.8):影响Windows Netlogon服务,攻击者可能无需登录即可远程攻击域控制器服务器。
CVE-2026-41096 (CVSS 9.8):影响Windows DNS客户端,特定配置下允许未经认证的远程代码执行。
CVE-2026-42898 (CVSS 9.9):影响Microsoft Dynamics 365本地部署,授权攻击者可借此远程执行代码。
挑战与未来:修补速度成为关键
更令人警惕的是,谷歌威胁分析小组5月11日报告了首例已知由威胁分子利用AI开发、并计划大规模利用的“零日漏洞”。这表明攻击方也已开始武装AI。
漏洞赏金平台HackerOne今年早些时候暂停了其开源项目赏金计划,原因正是漏洞发现速度已远超维护者修复能力,凸显了行业面临的失衡困境。
微软副总裁加拉格尔总结道:“软件漏洞的发现速度和广度正在急剧增加,短期内这一趋势不会放缓。那些补丁管理、风险暴露控制和身份管控流程能跟上节奏的组织,将能更好地适应变化。而仍沿用旧有慢节奏策略的环境,则需要深刻反思了。”
安情视界——洞见未来,智掌先机,持续追踪全球安全动态,精准解读政策与事件,深度预测研判趋势,护航企业全球化征程。
Hisec大模型防火墙
Hisec大模型防火墙是一种专门为大型语言模型(LLM)及生成式AI系统设计的安全防护中间件。其核心目标是在模型的输入、处理与输出全链路中,构建主动的、多层次的安全防御体系,以应对大模型特有的安全风险。实时检测并抵御针对模型的提示注入攻击,并对用户输入进行多维度内容安全审核,防止恶意指令诱导模型生成有害内容。识别并拦截可能干扰模型推理的对抗样本,尤其在自动驾驶、金融、医疗等高可靠性要求的场景中,保障模型决策的鲁棒性与可信性。对模型生成的内容进行合规性、安全性与价值观审查,过滤其中的违法违规信息、偏见歧视、隐私数据泄露及侵权内容,确保输出结果安全、可靠、合规。
