%20--%3e%3cdefs%3e%3cstyle%3e%20.st0%20{%20fill:%20%23061b40;%20}%20.st1%20{%20fill:%20%23306af1;%20}%20.st2%20{%20fill:%20%235ce5cf;%20}%20%3c/style%3e%3c/defs%3e%3cg%3e%3cpath%20class='st0'%20d='M55,10.5h9v3h-9v9h12V7.5h-12v3ZM64,19.5h-6v-3h6v3Z'/%3e%3cpolygon%20class='st0'%20points='69%2016.5%2078%2016.5%2078%2019.5%2069%2019.5%2069%2022.5%2081%2022.5%2081%2013.5%2072%2013.5%2072%2010.5%2081%2010.5%2081%207.5%2069%207.5%2069%2016.5'/%3e%3cpolygon%20class='st0'%20points='95%2010.5%2095%207.5%2083%207.5%2083%2022.5%2095%2022.5%2095%2019.5%2086%2019.5%2086%2016.5%2095%2016.5%2095%2013.5%2086%2013.5%2086%2010.5%2095%2010.5'/%3e%3cpath%20class='st0'%20d='M40,1.5v21h11.6l1.4-1.4v-7.6h0c0,0-1.4-1.5-1.4-1.5l1.4-1.4V2.9l-1.4-1.4h-11.6ZM50,19.5h-7v-6h7v6ZM50,10.5h-7v-6h7v6Z'/%3e%3c/g%3e%3cpath%20class='st1'%20d='M23.1,24L14.7,4.8l-4.9,11.2h3.8l-1.8,4H3.3L12.1,0H2C.9,0,0,.9,0,2v20c0,1.1.9,2,2,2h21.1Z'/%3e%3cpath%20class='st2'%20d='M34,0h-16.8l10.6,24h6.2c1.1,0,2-.9,2-2V2C36,.9,35.1,0,34,0ZM32.5,20h-4V4h4v16Z'/%3e%3c/svg%3e)
人工智能在網絡安全領域取得里程碑式突破。初創公司 depthfirst 開發的 AI 安全分析系統自主發現了一個潛伏長達 18 年的 NGINX 關鍵漏洞
漏洞核心信息
潛伏時長: 自 2008 年引入以來一直未被發現,跨度達 18 年。
受影響版本: NGINX 版本從 0.6.27 到 1.30.0。
漏洞原理: 存在於
rewrite模塊中,源於腳本引擎的兩階段處理機制缺陷,導致堆緩衝區溢出。修復版本: 官方已發佈補丁,建議升級至開源版 1.31.0 或 1.30.1,以及相應的商業版 NGINX Plus。
AI 安全分析的“降維打擊”
此次漏洞由舊金山 AI 實驗室 depthfirst 發現。該系統的表現令行業矚目:
極高效率: 系統在僅 6 小時的自主掃描中,便識別出包括 CVE-2026-42945 在內的 5 個安全問題(其中 4 個已被官方確認爲遠程內存損壞漏洞)。
深度理解: 與傳統工具不同,該 AI 能理解複雜的業務邏輯和跨模塊交互,發現了此前連頂尖 AI 安全工具都遺漏的漏洞。
數據顯示,全球約有 1900 萬個暴露的 NGINX 實例受到該漏洞影響。其中,美國(約 5340 萬個受影響實例,含歷史累計數據)和中國(約 2540 萬個)是暴露程度最高的國家。由於該漏洞的驗證代碼(PoC)已經公開,安全風險極大。建議所有使用 NGINX 的企業和開發者立即覈查配置文件(特別是同時使用 rewrite 和 set 指令的場景),並儘快完成版本更新。