免费试用
- OneWAN SD-WAN
- OneWAN SASE
- AIDC数据中心
- 虚拟专用网络
- MSSP安全托管服务
- AI·算力·网络
- One2C多云管理
- 边缘计算
- 互联网接入
- 一体化安全办公
- 云连接
最近,安全公司Intruder做了一次实验。
研究团队选取了200个常用WordPress插件,搭建了一套自动化漏洞挖掘系统。系统先从大量代码中筛出可疑部分,再由AI判断漏洞是否成立、生成验证脚本,并在隔离环境中测试。
最终,这套系统在Creative Mail插件中发现了此前未公开的SQL注入漏洞CVE-2026-3985。
AI改变了漏洞挖掘的成本
过去,寻找一个漏洞通常需要研究人员阅读大量代码、梳理调用关系、搭建测试环境,再反复尝试不同的攻击路径。
这是一项费时,也十分依赖经验的工作。
因此,无论是安全研究人员还是攻击者,通常都会优先关注用户量大、应用范围广、攻击价值高的软件。至于一些使用人数较少、代码结构复杂,或者需要多个步骤才能利用的漏洞,往往不值得投入太多时间。
但AI自动化工具正在改变这笔成本账。
此次发现的漏洞并不能通过一次简单请求直接触发。攻击者需要先将恶意内容写入会话,再通过后续请求完成注入。
普通扫描工具很难识别这种跨越多个步骤的攻击过程,而自动化系统可以追踪代码和数据之间的关系,判断漏洞能否成立,并生成验证脚本。
这意味着,过去因为“投入产出不高”而被忽略的插件、开源组件和小型应用,也可能进入批量搜索范围。
事实上,AI并没有让软件中的漏洞突然增多。真正发生变化的是,越来越多原本藏在角落里的漏洞,开始变得值得被寻找。

“没人会专门盯上我们”不再可靠
不少企业在安全问题上存在一种隐性的侥幸心理:自身规模不大,系统也不是行业核心目标,攻击者未必愿意投入精力专门研究。
在人工挖掘为主的情况下,这种判断并非毫无依据。攻击者同样需要考虑投入产出,不可能逐一研究互联网上的每一个应用。
但自动化降低了这种限制。
当一套系统可以同时检查数百个插件或应用时,攻击者不再需要提前判断某个企业是否值得研究。工具可以先大范围寻找漏洞,再从中筛选真正具备利用价值的目标。
这时,企业是否知名、业务规模是否足够大,已经不再是决定风险高低的唯一因素。只要系统暴露在互联网上,并且使用了存在缺陷的组件,就可能进入自动化扫描范围。
攻击未必因某家企业而来,但漏洞一旦被批量发现,使用相关组件的企业都可能成为目标。

企业要知道自己暴露了什么
此次漏洞还有一个值得注意的条件:Creative Mail与WooCommerce需要同时运行,漏洞才可能被利用。
这说明,实际风险往往不只来自某个独立软件,还可能产生于插件、接口和业务系统之间的组合关系。
对企业来说,首先需要回答的,不是“有没有购买某款安全产品”,而是一些更基础的问题:
目前有哪些系统能够从互联网访问?
使用了哪些插件和开源组件?
哪些应用已经长期没有更新?
这些应用又能够访问哪些数据和内部资源?
如果连这些情况都不清楚,漏洞公开后,企业也很难迅速判断自身是否受到影响。
因此,面对逐渐规模化的漏洞挖掘,企业需要持续梳理互联网暴露资产、软件组件和访问权限。
过去,企业或许还能寄希望于系统规模太小、漏洞位置太偏,没有人愿意专门研究。但当寻找漏洞逐渐成为一项可以批量运行的工作,这种侥幸就越来越不可靠了。