资讯中心

CIO们都在关注,就差你了!

当零日漏洞开始“流水线生产”:AI正在改变漏洞挖掘方式——赛柏特安全观察

2026年07月17日
email wechat weibo link

最近,安全公司Intruder做了一次实验。

研究团队选取了200个常用WordPress插件,搭建了一套自动化漏洞挖掘系统。系统先从大量代码中筛出可疑部分,再由AI判断漏洞是否成立、生成验证脚本,并在隔离环境中测试。

最终,这套系统在Creative Mail插件中发现了此前未公开的SQL注入漏洞CVE-2026-3985。

AI改变了漏洞挖掘的成本

过去,寻找一个漏洞通常需要研究人员阅读大量代码、梳理调用关系、搭建测试环境,再反复尝试不同的攻击路径。

这是一项费时,也十分依赖经验的工作。

因此,无论是安全研究人员还是攻击者,通常都会优先关注用户量大、应用范围广、攻击价值高的软件。至于一些使用人数较少、代码结构复杂,或者需要多个步骤才能利用的漏洞,往往不值得投入太多时间。

但AI自动化工具正在改变这笔成本账。

此次发现的漏洞并不能通过一次简单请求直接触发。攻击者需要先将恶意内容写入会话,再通过后续请求完成注入。

普通扫描工具很难识别这种跨越多个步骤的攻击过程,而自动化系统可以追踪代码和数据之间的关系,判断漏洞能否成立,并生成验证脚本。

这意味着,过去因为“投入产出不高”而被忽略的插件、开源组件和小型应用,也可能进入批量搜索范围。

事实上,AI并没有让软件中的漏洞突然增多。真正发生变化的是,越来越多原本藏在角落里的漏洞,开始变得值得被寻找。

20260717479512.png

“没人会专门盯上我们”不再可靠

不少企业在安全问题上存在一种隐性的侥幸心理:自身规模不大,系统也不是行业核心目标,攻击者未必愿意投入精力专门研究。

在人工挖掘为主的情况下,这种判断并非毫无依据。攻击者同样需要考虑投入产出,不可能逐一研究互联网上的每一个应用。

但自动化降低了这种限制。

当一套系统可以同时检查数百个插件或应用时,攻击者不再需要提前判断某个企业是否值得研究。工具可以先大范围寻找漏洞,再从中筛选真正具备利用价值的目标。

这时,企业是否知名、业务规模是否足够大,已经不再是决定风险高低的唯一因素。只要系统暴露在互联网上,并且使用了存在缺陷的组件,就可能进入自动化扫描范围。

攻击未必因某家企业而来,但漏洞一旦被批量发现,使用相关组件的企业都可能成为目标。

20260717683329.png

企业要知道自己暴露了什么

此次漏洞还有一个值得注意的条件:Creative Mail与WooCommerce需要同时运行,漏洞才可能被利用。

这说明,实际风险往往不只来自某个独立软件,还可能产生于插件、接口和业务系统之间的组合关系。

对企业来说,首先需要回答的,不是“有没有购买某款安全产品”,而是一些更基础的问题:

  • 目前有哪些系统能够从互联网访问?

  • 使用了哪些插件和开源组件?

  • 哪些应用已经长期没有更新?

  • 这些应用又能够访问哪些数据和内部资源?

如果连这些情况都不清楚,漏洞公开后,企业也很难迅速判断自身是否受到影响。

因此,面对逐渐规模化的漏洞挖掘,企业需要持续梳理互联网暴露资产、软件组件和访问权限。

过去,企业或许还能寄希望于系统规模太小、漏洞位置太偏,没有人愿意专门研究。但当寻找漏洞逐渐成为一项可以批量运行的工作,这种侥幸就越来越不可靠了。


免费试用

免费试用

  • OneWAN SD-WAN
  • OneWAN SASE
  • AIDC数据中心
  • 虚拟专用网络
  • MSSP安全托管服务
  • AI·算力·网络
  • One2C多云管理
  • 边缘计算
  • 互联网接入
  • 一体化安全办公
  • 云连接
Top