AI開始進入漏洞研究與通報生態,Mozilla、微軟、GitHub與Curl案例受關注
- 來源:iThome(ID: 488)
- URL:https://www.ithome.com.tw/news/175980
- 發布日期:2026-05-21
- 參考報告:VulnCheck 5/14分析報告
摘要
2026年4月7日,Anthropic宣布 Project Glasswing 與 Claude Mythos Preview,聲稱已在主要OS與瀏覽器中發現大量零時差漏洞並先交合作夥伴使用。VulnCheck觀察到Mozilla、微軟、Apache、Curl、Palo Alto Networks等案例已將AI用於漏洞發掘、驗證、修補。
各案例
GitHub — 開源漏洞通報量爆增
- 2026年Q1 vs 2025年Q4:私下漏洞通報量增加超過4倍
- CVE ID申請:從約1,100件 → 超過4,000件
- 無單一通報者占比 >3%,無單一專案占比 >7%(系統性轉變,非個別工具)
- 維護者接受率:32% → 27%(小幅下降,未崩潰)
- CVE指派率:90% → 93%(有效揭露增加,非純雜訊)
Mozilla Firefox — AI整合進安全工作流程
- 2月起使用先進AI模型掃描Firefox
- Claude Opus 4.6掃描 → Firefox 148修補22個安全錯誤
- Claude Mythos Preview → Firefox 150修補271項漏洞
- AI補強模糊測試盲點;漏洞仍由工程師/安全團隊負責驗證修補
Google Chrome — CVE揭露量暴增
- 2026年以來年增563.2%(VulnCheck觀察最大增幅)
- Google確認參與Project Glasswing
- 警告:Google GTIG(5/12報告)指出攻擊者已運用AI從事漏洞研究、利用與初始入侵;中國、北韓威脅行為者展現高度興趣
微軟 — MDASH多模型代理式AI系統
- MDASH系統:5月Patch Tuesday中找出16個新漏洞,含4個重大RCE漏洞
- 回溯測試CLFS驅動clfs.sys:在28個已知案例達96%召回率
- 意義:AI可從既有漏洞案例辨識相似弱點與漏洞模式
Apache ActiveMQ — AI協助找出複合型攻擊路徑
- CVE-2026-34197:RCE漏洞,透過Jolokia API誘使broker載入遠端設定檔執行任意命令
- 已列入CISA KEV(已知遭利用漏洞目錄)
- 研究員Naveen Sunkavally:「約80%由Claude完成,20%由人類整理」
Curl — AI仍需人類審查(反例警示)
- Mythos列出5個「已確認」漏洞 → 經審查:1個有效CVE、3個誤判、1個一般程式錯誤
- 維護者Daniel Stenberg指出:AI模型持續套用同一程式碼仍可找出不同錯誤
- 過去8-10個月AI工具已協助Curl約200-300項錯誤修正,部分確認為CVE
Palo Alto Networks — 多模型漏洞掃描
- 使用模型:Anthropic Mythos、Claude Opus 4.7、OpenAI GPT-5.5-Cyber
- 5月Patch Wednesday:26個CVE、75項問題(平常每月不到5個CVE)
- 首次多數漏洞來自AI模型掃描;強調需搭配上下文、護欄與威脅情報
關鍵結論
| 面向 | 現況 |
|---|---|
| AI效益 | 確實帶來更多有效漏洞揭露,不只是雜訊 |
| AI限制 | 仍有誤判,需人類審查(Curl案例) |
| 攻防兩用 | 攻擊者同樣開始使用AI輔助漏洞研究(GTIG警告) |
| 企業影響 | 漏洞通報量與待修補清單將持續增加 |
企業資安團隊建議
- 持續盤點資產
- 加快修補與版本更新速度
- 搭配威脅情報優先處理已遭實際利用或高風險新興漏洞
衍生頁面
- AI進入漏洞研究與通報生態Mozilla微軟GitHub與Curl案例 — 本文衍生的核心概念頁面
- AI輔助漏洞發掘導致CVE揭露量攀升趨勢2026 — 更新既有概念(新增案例細節)
- mozilla — Mozilla Firefox AI漏洞掃描案例
- microsoft — 微軟MDASH系統案例
- github — GitHub漏洞通報量爆增
- vulncheck — 數據來源機構
- anthropic — Claude Mythos / Project Glasswing