前言

AI Agent 在安全领域的应用迎来里程碑时刻。2026 年 4 月 24 日,安全公司 AISLE 宣布,其自主 AI 系统在过去 6 个月内发现了 20 个 OpenSSL 零日漏洞,占同期 OpenSSL 总漏洞数的绝大部分。这是 AI Agent 首次大规模、持续性地发现高危漏洞,标志着 AI 安全能力的重大突破。

事件背景

OpenSSL 是互联网的加密基石,被全球数十亿设备使用。由于其安全性至关重要,OpenSSL 也是全球审计最严格的代码库之一。在这样的代码库中发现零日漏洞,本身就是极高难度的挑战。

AISLE 的 AI 系统做到了,而且是持续性地做到:

  • 2025 年 9 月:首次发现 3 个 CVE(包括 2 个中危漏洞)
  • 2026 年 1 月:发现全部 12 个 CVE
  • 2026 年 4 月:发现 5 个 CVE(最新一批)

最新发现:5 个零日漏洞详情

2026 年 4 月 7 日,OpenSSL 发布安全公告,修复了 7 个漏洞,其中 5 个由 AISLE 的 AI 系统发现:

1. CVE-2026-28386:AVX-512 路径越界读取

  • 类型:AES-CFB-128 汇编路径中的越界读取
  • 影响:x86-64 系统,支持 AVX-512/VAES
  • 危害:处理部分密码块时可能崩溃
  • 严重性:OpenSSL 评估为低危,但 NVD 评分 CVSS 9.1(严重)
  • 特殊情况:与 Anthropic 独立发现,AISLE 提交修复方案

2. CVE-2026-28387:DANE TLSA 客户端释放后使用

  • 类型:释放后使用 + 潜在双重释放
  • 影响:特定服务器配置下的 DANE TLSA 客户端
  • 危害:内存损坏或代码执行

3-5. 其他 NULL 指针解引用漏洞

  • CVE-2026-28388:处理畸形 delta CRL 时
  • CVE-2026-28389:CMS EnvelopedData 处理时
  • CVE-2026-28390:使用 RSA-OAEP 时

关键突破:首次与 Anthropic 独立发现同一漏洞

CVE-2026-28386 是本次发现中最引人注目的案例。AISLE 的 AI 系统于 2026 年 1 月 6 日报告该漏洞并提交修复方案,Anthropic 的研究员 Alex Gaynor(可能使用 Mythos 工具)在 63 天后独立报告了同一漏洞。

这是 AI Agent 之间首次独立发现同一零日漏洞,展示了 AI 安全能力的成熟度。OpenSSL 官方公告记录了两个发现,AISLE 为原始报告者和修复作者,Anthropic 为联合报告者。

AI 安全能力的持续证明

三次发布,一个模式

AISLE 的 AI 系统在三次 OpenSSL 安全发布中持续发现漏洞:

发布时间总 CVE 数AISLE 发现占比
2025-094375%
2026-011212100%
2026-047571%

更重要的是,一半的漏洞修复代码由 AI 系统编写,并被 OpenSSL 官方采纳。

从”发现”到”修复”的完整能力

AISLE 的 AI 系统不仅能发现漏洞,还能:

  1. 自动生成修复补丁
  2. 提交给 OpenSSL 团队审核
  3. 通过 OpenSSL 的严格代码审查

这标志着 AI Agent 在安全领域的能力已从”辅助工具”升级为”独立贡献者”。

对 AI Agent 行业的影响

1. 安全能力成为 AI Agent 的核心竞争力

AISLE 的成功证明,AI Agent 可以在安全领域发挥远超人类的效率。6 个月发现 20 个零日漏洞,这是人类安全研究员难以企及的速度。

2. AI 安全审计将成为标配

随着 AI 安全能力的提升,传统的代码审计和安全测试方式将发生变革:

  • 实时审计:AI Agent 可以 24/7 监控代码库
  • 深度分析:发现人类难以察觉的复杂漏洞
  • 自动修复:从发现到修复的完整流程自动化

3. 漏洞发现从”稀缺资源”变为”规模化能力”

传统上,零日漏洞是稀缺资源,只有顶级安全团队能持续发现。AI Agent 的出现,使漏洞发现能力”规模化”和”民主化”。

挑战与争议

1. 责任归属问题

AI Agent 发现的漏洞,其责任归属如何界定?如果 AI 系统被用于恶意目的,如何追溯?

2. 安全披露流程

AI Agent 高效发现漏洞的能力,对现有的安全披露流程提出了新挑战:

  • 如何验证 AI 发现的漏洞?
  • 如何平衡快速披露与负责任披露?
  • 如何防止漏洞信息被滥用?

3. AI 系统本身的安全性

AI Agent 的安全能力越强,其自身成为攻击目标的风险越高。如何保护 AI 系统不被对手利用?

未来展望

短期(2026 年)

  • 更多 AI 安全工具发布
  • 企业开始采用 AI 驱动的安全审计
  • 安全行业标准更新,纳入 AI 能力

中期(2026-2027 年)

  • AI Agent 成为安全团队的标配
  • 漏洞发现速度大幅提升
  • 安全开发流程全面 AI 化

长期(2028 年及以后)

  • AI Agent 主导漏洞发现和修复
  • 新的安全范式出现
  • 攻防对抗升级为 AI 对 AI

相关阅读

更新时间:2026-04-25 02:15 来源:Hacker News、AISLE 官方博客、OpenSSL 官方公告