AI進入漏洞研究與通報生態:Mozilla、微軟、GitHub與Curl案例

2026年,AI工具開始深度整合進各大軟體廠商的漏洞研究與通報流程。以下彙整VulnCheck(2026-05-14)報告與iThome(2026-05-21)報導的代表性案例。

核心驅動力:Project Glasswing 與 Claude Mythos

2026年4月7日,Anthropic宣布 Project GlasswingClaude Mythos Preview,聲稱已在主要OS與瀏覽器發現大量零時差漏洞,先交合作夥伴使用。此後多個廠商公開承認AI模型已正式納入安全工作流程。

各廠商案例

GitHub — 漏洞通報量爆增(系統性轉變)

  • 2026年Q1私下漏洞通報量較2025年Q4增加超過4倍
  • CVE ID申請從約1,100件增至超過4,000件
  • 無單一通報者占比超過3%、無單一專案占比超過7% → 非個別工具行為,系統性轉變
  • 維護者接受率微降(32% → 27%),CVE指派率微升(90% → 93%),顯示整體品質仍可接受

Mozilla Firefox — AI掃描補強模糊測試

  • 2026年2月起引入先進AI模型掃描Firefox程式碼
  • Claude Opus 4.6:Firefox 148修補22個安全錯誤
  • Claude Mythos Preview:Firefox 150修補271項漏洞
  • AI補強模糊測試盲點,漏洞驗證與修補仍由人類工程師主導

微軟 — MDASH多模型代理式AI系統

  • 5月Patch Tuesday中MDASH系統找出16個新漏洞,含4個重大RCE漏洞
  • 回溯測試CLFS驅動(clfs.sys):在28個已知案例中達96%召回率
  • 意義:AI可從既有漏洞案例辨識相似弱點與漏洞模式,加速修補工作流

Curl — 反例警示(AI誤判率仍高)

  • Claude Mythos列出5個「已確認」漏洞 → 實際審查結果:1個有效CVE、3個誤判、1個一般程式錯誤
  • 維護者Daniel Stenberg:AI模型持續對同一程式碼找出不同錯誤
  • 過去8-10個月AI工具已協助約200-300項錯誤修正,部分確認為CVE
  • 結論:AI輔助有幫助,但人類審查不可省略

Palo Alto Networks — 多模型掃描大幅提升CVE量

  • 使用模型:Anthropic Mythos、Claude Opus 4.7、OpenAI GPT-5.5-Cyber
  • 5月Patch Wednesday:26個CVE、75項問題(平常每月不到5個CVE)
  • 首次多數漏洞來自AI模型掃描;強調需搭配上下文、護欄與威脅情報

Apache ActiveMQ — AI80%貢獻

  • CVE-2026-34197:RCE漏洞,透過Jolokia API誘使broker載入遠端設定檔
  • 已列入CISA KEV(已知遭利用漏洞目錄)
  • 研究員Naveen Sunkavally:「約80%由Claude完成,20%由人類整理」

攻防兩用警告

Google GTIG(2026-05-12報告)指出攻擊者已運用AI從事漏洞研究、利用與初始入侵;中國、北韓威脅行為者對AI輔助漏洞研究展現高度興趣。

關鍵結論

面向現況
AI效益確實帶來更多有效漏洞揭露,不只是雜訊
AI限制仍有誤判,需人類審查(Curl案例)
攻防兩用攻擊者同樣開始使用AI輔助漏洞研究
企業影響漏洞通報量與待修補清單將持續增加

來源文章

相關頁面