AI驱动发现揭露12个OpenSSL重大零日漏洞 历史性突破

AI系统发现OpenSSL中的12个零日漏洞

由AISLE开发的AI驱动安全研究系统在OpenSSL项目的2026年1月27日安全发布中，发现了12个此前未知的零日漏洞。这一发现标志着自动化漏洞研究的历史性里程碑。该AI系统在2025年被分配的14个OpenSSL CVE中贡献了13个，并在最近两次发布中共发现15个漏洞——这一集中度对于任何研究团队，尤其是AI驱动的系统而言，都是前所未有的。

漏洞的技术细节

发现的漏洞包括CVE-2025-15467，这是一个CMS消息解析中的栈缓冲区溢出漏洞，被OpenSSL评为高危（HIGH severity），并被NIST评为严重（9.8 CVSS）。该漏洞无需有效密钥材料即可远程利用，且相关利用代码已在网上出现。值得关注的细节包括：

• 三个漏洞可追溯至1998–2000年，在超过**25年的时间里躲过了大量模糊测试和审计。
• 一个漏洞源自SSLeay，即OpenSSL的前身，甚至早于该项目本身。
• 12个漏洞中的5个包含了AI生成的补丁，并被官方OpenSSL发布版本采纳。

OpenSSL代码库曾经历数百万CPU小时的模糊测试，并接受过包括Google在内的团队的审计，长期以来被视为安全软件开发的基准。此次发现挑战了传统漏洞发现方法的有效性。

影响与启示

这一发现凸显了AI在网络安全研究中的变革潜力，展示了其发现深层历史漏洞的能力，这些漏洞在数十年间躲过了人工和机器分析。然而，AI驱动的漏洞发现的双重用途也引发了关键问题：

• 攻击性应用：威胁行为者可能利用类似的AI系统大规模发现并利用零日漏洞。
• 防御性进展：AI驱动的工具可能加速漏洞修补，并缩短关键软件的暴露窗口。
• 研究范式转变：单一AI系统的集中发现表明自动化安全研究的新时代已经到来，AI将增强（甚至可能超越）人工驱动的研究工作。

安全团队建议

1. 优先修补：使用OpenSSL的组织应立即应用2026年1月27日的安全更新，特别是CVE-2025-15467及其他高危漏洞。
2. 监控利用开发：由于CVE-2025-15467的利用代码已公开，安全团队应加强对相关攻击模式的监控。
3. 评估AI驱动工具：评估将基于AI的漏洞发现工具集成到内部安全研究和红队工作流程中的可行性。
4. 审查遗留代码：25年历史漏洞的发现凸显了对基础代码库进行回顾性审计的必要性，即使这些代码库被认为已经过充分审计。

AISLE团队的发现标志着网络安全的分水岭时刻，AI不再是辅助工具，而是漏洞发现的主要驱动力。随着AI能力的不断提升，防御者和攻击者都将越来越依赖这些系统，实时重塑威胁格局。