全球三分之一的网站,地基里居然埋着一颗藏了18年的定时炸弹。
2026年5月13号,网络安全圈直接炸锅。
一家叫DepthFirst的创业公司,用他们开发的AI安全系统,从NGINX的血管里揪出来一个成精的漏洞。
这个漏洞官方编号CVE-2026-42945,评分高达9.2分,属于毁灭级的危急。
它从2008年就埋进去了,躺了整整18年,影响了从0.6.27到1.30.0几乎所有的历史版本。
问题的根源出在NGINX最核心的改写模块。
当管理员在配置里同时用上改写和设置指令时,底层的脚本引擎会犯一个低级错误。
它分两步干活,第一步先算个大概需要的内存数,第二步往里面填数据时,手抖多填了一大块。
这种穿衣显瘦脱衣有肉的错位,直接让内存爆掉了。
攻击者只需向服务器发送一串精心伪造的恶意请求,就能把正常的服务器变成自己的肉鸡。
轻则偷数据,重则直接夺走服务器的最高控制权。
最让后脖子发凉的是:这个潜伏了18年、跨越大半个互联网周期的深渊巨坑,DepthFirst的AI只花了6个小时就把它挖出来了。
属于是降维打击。AI在这6个小时里,一共发现了5个深藏在底层的安全问题,其中4个被官方确认为严重的内存损坏类漏洞。
过去人类花了快20年都没找到的疏漏,在机器逻辑的审视下,像纸糊的城墙一样瞬间土崩瓦解。
DepthFirst的团队成员在技术博客里解释了发现过程。
他们开发的AI扫描器采用智能大脑进行驱动,与传统工具相比,具备更深层的理解力。
它能理解复杂的业务逻辑和不同部件之间的配合,发现了此前连顶尖AI安全工具都遗漏的漏洞。
既然AI已经证明它能用6小时看穿人类18年的盲点,那在那些充斥着我们生活的高频代码里,还有多少个没被揪出的沉睡的幽灵?细思极恐。
这个漏洞之所以引起全球性震动,是因为它离我们普通人实在太近了。
NGINX不仅仅是科技巨头的专属,大量个人博客、中小企业的官网、跨境电商的独立站后台,甚至是智能家居的网关系统,全都跑在NGINX上。
数据显示,全球约有1900万个暴露的NGINX实例受到该漏洞影响,其中美国和中国是暴露程度最高的两个国家。
一旦攻击者锁定了这些存在漏洞的服务器,他们可以悄无声息地向你的网站注入恶意代码、篡改你的网页内容、窃取网站数据库里存储的用户数据。
这就像你租了一个看似安保严密的公寓,却不知道地下停车场有条暗道早在18年前就画在了建筑图上。
不过好消息是,漏洞的触发需要极其苛刻的配置组合,而要实现直接接管你的服务器,在一些默认开启了系统随机打乱功能的现代服务器上并不容易达成。
对于普通的网站主或运维人员来说,修复并不难。
官方已经紧急发布了修复包,任何使用NGINX开源版1.30.1或1.31.0以下版本的用户,必须立即升级到这些版本;
商业版用户则需要对照官方的修复方案进行更新。
这就引出了一个不容回避的终极疑问:在AI都能抓代码漏洞的当下,未来的网络安全大战,参战主力是否还是凡人?
一个不容忽视的趋势是,AI正在重新定义攻防双方的能力天花板。
就在漏洞细节和验证代码公开后不久,已有社区评论感叹AI时代找漏洞还是太强了防不胜防,也有人指出以前纯人工找很难速度很慢,AI一出来不眠不休地找。
更有网友乐观地认为:经历AI大扫荡的阵痛时代后,服务更可靠安全,历史遗留的洞更少那是好事。
从发现者的角度,这是一个巨大的胜利。
但这件事之所以引人深思,是因为它透露出一个新的信号:AI能替人类找BUG,也就能替恶意攻击者找后门。
在过去,信息安全的对决,是顶尖黑客和顶尖安全专家之间的智力互搏;
现在,加入了AI这个变量,未来的攻防对抗必将空前激烈。
当然,悲观者永远正确,但乐观者永远前行。
这18年漏洞的终结,让我想起了丘吉尔的一句名言:这不是结束,甚至不是结束的开始,但可能是开始的结束。
我们用人类的大脑创造了AI,而如今AI开始反哺我们,替我们擦去过去留下的尘埃。
这或许是给AI时代开出的一张最踏实的保单。
夜雨聆风