AI開始進入漏洞研究與通報生態,Mozilla、微軟、GitHub與Curl案例受關注

摘要

2026年4月7日,Anthropic宣布 Project Glasswing 與 Claude Mythos Preview,聲稱已在主要OS與瀏覽器中發現大量零時差漏洞並先交合作夥伴使用。VulnCheck觀察到Mozilla、微軟、Apache、Curl、Palo Alto Networks等案例已將AI用於漏洞發掘、驗證、修補。

各案例

GitHub — 開源漏洞通報量爆增

  • 2026年Q1 vs 2025年Q4:私下漏洞通報量增加超過4倍
  • CVE ID申請:從約1,100件 → 超過4,000件
  • 無單一通報者占比 >3%,無單一專案占比 >7%(系統性轉變,非個別工具)
  • 維護者接受率:32% → 27%(小幅下降,未崩潰)
  • CVE指派率:90% → 93%(有效揭露增加,非純雜訊)

Mozilla Firefox — AI整合進安全工作流程

  • 2月起使用先進AI模型掃描Firefox
  • Claude Opus 4.6掃描 → Firefox 148修補22個安全錯誤
  • Claude Mythos Preview → Firefox 150修補271項漏洞
  • AI補強模糊測試盲點;漏洞仍由工程師/安全團隊負責驗證修補

Google Chrome — CVE揭露量暴增

  • 2026年以來年增563.2%(VulnCheck觀察最大增幅)
  • Google確認參與Project Glasswing
  • 警告:Google GTIG(5/12報告)指出攻擊者已運用AI從事漏洞研究、利用與初始入侵;中國、北韓威脅行為者展現高度興趣

微軟 — MDASH多模型代理式AI系統

  • MDASH系統:5月Patch Tuesday中找出16個新漏洞,含4個重大RCE漏洞
  • 回溯測試CLFS驅動clfs.sys:在28個已知案例達96%召回率
  • 意義:AI可從既有漏洞案例辨識相似弱點與漏洞模式

Apache ActiveMQ — AI協助找出複合型攻擊路徑

  • CVE-2026-34197:RCE漏洞,透過Jolokia API誘使broker載入遠端設定檔執行任意命令
  • 已列入CISA KEV(已知遭利用漏洞目錄)
  • 研究員Naveen Sunkavally:「約80%由Claude完成,20%由人類整理」

Curl — AI仍需人類審查(反例警示)

  • Mythos列出5個「已確認」漏洞 → 經審查:1個有效CVE、3個誤判、1個一般程式錯誤
  • 維護者Daniel Stenberg指出:AI模型持續套用同一程式碼仍可找出不同錯誤
  • 過去8-10個月AI工具已協助Curl約200-300項錯誤修正,部分確認為CVE

Palo Alto Networks — 多模型漏洞掃描

  • 使用模型:Anthropic Mythos、Claude Opus 4.7、OpenAI GPT-5.5-Cyber
  • 5月Patch Wednesday:26個CVE、75項問題(平常每月不到5個CVE)
  • 首次多數漏洞來自AI模型掃描;強調需搭配上下文、護欄與威脅情報

關鍵結論

面向現況
AI效益確實帶來更多有效漏洞揭露,不只是雜訊
AI限制仍有誤判,需人類審查(Curl案例)
攻防兩用攻擊者同樣開始使用AI輔助漏洞研究(GTIG警告)
企業影響漏洞通報量與待修補清單將持續增加

企業資安團隊建議

  • 持續盤點資產
  • 加快修補與版本更新速度
  • 搭配威脅情報優先處理已遭實際利用或高風險新興漏洞

衍生頁面