AI進入漏洞研究與通報生態:Mozilla、微軟、GitHub與Curl案例
2026年,AI工具開始深度整合進各大軟體廠商的漏洞研究與通報流程。以下彙整VulnCheck(2026-05-14)報告與iThome(2026-05-21)報導的代表性案例。
核心驅動力:Project Glasswing 與 Claude Mythos
2026年4月7日,Anthropic宣布 Project Glasswing 與 Claude Mythos Preview,聲稱已在主要OS與瀏覽器發現大量零時差漏洞,先交合作夥伴使用。此後多個廠商公開承認AI模型已正式納入安全工作流程。
各廠商案例
GitHub — 漏洞通報量爆增(系統性轉變)
- 2026年Q1私下漏洞通報量較2025年Q4增加超過4倍
- CVE ID申請從約1,100件增至超過4,000件
- 無單一通報者占比超過3%、無單一專案占比超過7% → 非個別工具行為,系統性轉變
- 維護者接受率微降(32% → 27%),CVE指派率微升(90% → 93%),顯示整體品質仍可接受
Mozilla Firefox — AI掃描補強模糊測試
- 2026年2月起引入先進AI模型掃描Firefox程式碼
- Claude Opus 4.6:Firefox 148修補22個安全錯誤
- Claude Mythos Preview:Firefox 150修補271項漏洞
- AI補強模糊測試盲點,漏洞驗證與修補仍由人類工程師主導
微軟 — MDASH多模型代理式AI系統
- 5月Patch Tuesday中MDASH系統找出16個新漏洞,含4個重大RCE漏洞
- 回溯測試CLFS驅動(clfs.sys):在28個已知案例中達96%召回率
- 意義:AI可從既有漏洞案例辨識相似弱點與漏洞模式,加速修補工作流
Curl — 反例警示(AI誤判率仍高)
- Claude Mythos列出5個「已確認」漏洞 → 實際審查結果:1個有效CVE、3個誤判、1個一般程式錯誤
- 維護者Daniel Stenberg:AI模型持續對同一程式碼找出不同錯誤
- 過去8-10個月AI工具已協助約200-300項錯誤修正,部分確認為CVE
- 結論:AI輔助有幫助,但人類審查不可省略
Palo Alto Networks — 多模型掃描大幅提升CVE量
- 使用模型:Anthropic Mythos、Claude Opus 4.7、OpenAI GPT-5.5-Cyber
- 5月Patch Wednesday:26個CVE、75項問題(平常每月不到5個CVE)
- 首次多數漏洞來自AI模型掃描;強調需搭配上下文、護欄與威脅情報
Apache ActiveMQ — AI80%貢獻
- CVE-2026-34197:RCE漏洞,透過Jolokia API誘使broker載入遠端設定檔
- 已列入CISA KEV(已知遭利用漏洞目錄)
- 研究員Naveen Sunkavally:「約80%由Claude完成,20%由人類整理」
攻防兩用警告
Google GTIG(2026-05-12報告)指出攻擊者已運用AI從事漏洞研究、利用與初始入侵;中國、北韓威脅行為者對AI輔助漏洞研究展現高度興趣。
關鍵結論
| 面向 | 現況 |
|---|---|
| AI效益 | 確實帶來更多有效漏洞揭露,不只是雜訊 |
| AI限制 | 仍有誤判,需人類審查(Curl案例) |
| 攻防兩用 | 攻擊者同樣開始使用AI輔助漏洞研究 |
| 企業影響 | 漏洞通報量與待修補清單將持續增加 |
來源文章
相關頁面
- AI輔助漏洞發掘導致CVE揭露量攀升趨勢2026 — 數據層面分析(VulnCheck報告)
- Claude Mythos AI資安模型串聯漏洞攻擊鏈能力 — Claude Mythos能力探討
- mozilla — Firefox AI漏洞掃描案例
- microsoft — MDASH系統案例
- github — 漏洞通報量爆增
- anthropic — Claude Mythos / Project Glasswing開發商
- vulncheck — 數據來源機構
- palo-alto-networks — Palo Alto Networks多模型掃描案例