这个漏洞藏在NGINX——全球使用最广的网页服务器软件之一——的核心模块里。一家名叫depthfirst的AI初创公司,只用6小时就发现了它。而过去18年,无数人类安全专家都错过了。
漏洞编号CVE-2026-42945,严重程度9.2分(满分10)。攻击者能通过它远程执行任意代码,相当于在服务器上为所欲为。影响从2008年发布的NGINX 0.6.27,一直延伸到最新的1.30.0版本。
漏洞出在rewrite模块的“两阶段处理机制”。专业术语很难懂?打个比方:服务器在处理网址重定向时,会先规划好路径,再走一遍。但AI发现,在“规划”和“执行”之间有个裂缝,黑客可以塞进一段恶意指令,导致堆内存溢出,然后控制整个服务器。
depthfirst的AI系统不止发现了这一个漏洞。它自主扫描了6个小时,就揪出5个安全问题,其中4个被官方确认为远程内存损坏漏洞。相比传统工具只会机械比对特征码,这套AI能理解业务逻辑和模块间的交互,发现了之前顶尖AI安全工具都漏掉的“隐形炸弹”。
全球大概有1900万个暴露在互联网上的NGINX实例受影响。美国(含历史累计约5340万)和中国(约2540万)是重灾区。更糟的是,漏洞验证代码已经公开,黑帽子和白帽子都在抢时间。
好消息是,官方已经发布补丁。开源用户请升级到1.31.0或1.30.1,商业版NGINX Plus也有对应更新。如果你正在用NGINX,特别是同时用了rewrite和set指令,别想了,立刻检查配置文件,马上升级。
这次事件给行业提了个醒:AI不再只是辅助工具,它正在成为主动发现漏洞的“第六感”。但漏洞利用代码已经漫天飞,防守方必须跑得更快。
