人工智能在网络安全领域取得里程碑式突破。初创公司 depthfirst 开发的 AI 安全分析系统自主发现了一个潜伏长达 18 年的 NGINX 关键漏洞CVE-2026-42945。该漏洞被评定为严重级别(CVSS 9.2),影响了全球近三分之一的网站,攻击者可借此实现远程代码执行(RCE)。
潜伏时长: 自 2008 年引入以来一直未被发现,跨度达 18 年。
受影响版本: NGINX 版本从 0.6.27 到 1.30.0。
漏洞原理: 存在于 rewrite 模块中,源于脚本引擎的两阶段处理机制缺陷,导致堆缓冲区溢出。
修复版本: 官方已发布补丁,建议升级至开源版 1.31.0 或 1.30.1,以及相应的商业版 NGINX Plus。
此次漏洞由旧金山 AI 实验室 depthfirst 发现。该系统的表现令行业瞩目:
极高效率: 系统在仅 6 小时的自主扫描中,便识别出包括 CVE-2026-42945 在内的 5 个安全问题(其中 4 个已被官方确认为远程内存损坏漏洞)。
深度理解: 与传统工具不同,该 AI 能理解复杂的业务逻辑和跨模块交互,发现了此前连顶尖 AI 安全工具都遗漏的漏洞。
数据显示,全球约有 1900 万个暴露的 NGINX 实例受到该漏洞影响。其中,美国(约 5340 万个受影响实例,含历史累计数据)和中国(约 2540 万个)是暴露程度最高的国家。由于该漏洞的验证代码(PoC)已经公开,安全风险极大。建议所有使用 NGINX 的企业和开发者立即核查配置文件(特别是同时使用 rewrite 和 set 指令的场景),并尽快完成版本更新。
Anthropic与盖茨基金会宣布四年2亿美元合作,推动AI在医疗、教育、农业等公益领域的应用。Anthropic提供资金支持,旨在利用先进技术改善全球健康、生命科学及经济流动性,助力解决关键社会问题。
广东惠州市政府近日发布首批人工智能场景需求清单,涵盖38个应用场景,涉及科研、农业、制造、服务、城市治理和民生六大领域,并向全球征集AI解决方案。其中十个重点项目聚焦真实痛点,如东江实验室计划在极端环境中部署具身智能机器人,以应对危险作业。此举标志着AI应用正从大城市向地方拓展。
微软正逐步取消数千名内部开发者的Claude Code授权,这款来自Anthropic的AI编程工具曾广受欢迎。公司决定将重点转向自家产品GitHub Copilot CLI,主要出于产品整合和财务考量。由于6月30日是微软财年结束日,取消授权被视为削减成本措施,反映了内部工具博弈与资源优化。
科技公司“月之暗面”发布Kimi WebBridge浏览器插件,利用AI模拟人类操作,支持登录、点击、滑动等任务自动化,通过用户登录状态和Cookies执行操作,旨在提升浏览体验。
xAI公司于5月14日推出Grok Build编程智能体早期测试版,仅限SuperGrok订阅用户使用。该工具采用“先规划后执行”工作流,区别于传统代码补全,旨在为复杂编程任务提供深度自动化支持,核心功能包括规划模式,以解决逻辑编排难题。
关注 “悠AI” 更多干货技巧行业动态
相关文章
