人工智能在网络安全领域取得里程碑式突破。初创公司 depthfirst 开发的 AI 安全分析系统自主发现了一个潜伏长达 18 年的 NGINX 关键漏洞
漏洞核心信息
潜伏时长: 自 2008 年引入以来一直未被发现,跨度达 18 年。
受影响版本: NGINX 版本从 0.6.27 到 1.30.0。
漏洞原理: 存在于
rewrite模块中,源于脚本引擎的两阶段处理机制缺陷,导致堆缓冲区溢出。修复版本: 官方已发布补丁,建议升级至开源版 1.31.0 或 1.30.1,以及相应的商业版 NGINX Plus。
AI 安全分析的“降维打击”
此次漏洞由旧金山 AI 实验室 depthfirst 发现。该系统的表现令行业瞩目:
极高效率: 系统在仅 6 小时的自主扫描中,便识别出包括 CVE-2026-42945 在内的 5 个安全问题(其中 4 个已被官方确认为远程内存损坏漏洞)。
深度理解: 与传统工具不同,该 AI 能理解复杂的业务逻辑和跨模块交互,发现了此前连顶尖 AI 安全工具都遗漏的漏洞。
数据显示,全球约有 1900 万个暴露的 NGINX 实例受到该漏洞影响。其中,美国(约 5340 万个受影响实例,含历史累计数据)和中国(约 2540 万个)是暴露程度最高的国家。由于该漏洞的验证代码(PoC)已经公开,安全风险极大。建议所有使用 NGINX 的企业和开发者立即核查配置文件(特别是同时使用 rewrite 和 set 指令的场景),并尽快完成版本更新。