AI 发现潜伏 18 年的 NGINX 高危漏洞:全球三分之一网站面临 RCE 风险
一句话看懂:旧金山 AI 实验室 depthfirst 在 6 小时扫描中,自主发现了一个潜伏 18 年、影响全球近三分之一网站的 NGINX 高危漏洞(CVE-2026-42945),攻击者可借此实现远程代码执行(RCE)。这是 AI 安全分析系统首次在无人类辅助的情况下,独立发现如此重大的基础设施级漏洞。
事件核心:发生了什么
初创公司 depthfirst 开发的 AI 安全分析系统,在 6 小时自主扫描中识别出 5 个安全问题,其中 4 个已被官方确认为远程内存损坏漏洞。最严重的是 CVE-2026-42945,CVSS 评分 9.2(严重级别)。该漏洞存在于 NGINX 的 rewrite 模块,源于脚本引擎两阶段处理机制缺陷,导致堆缓冲区溢出,影响 NGINX 版本 0.6.27 至 1.30.0。官方已发布修复版本:开源版 1.31.0 或 1.30.1,以及对应的商业版 NGINX Plus。目前验证代码(PoC)已公开,风险较高。数据表明,全球约 1900 万个暴露的 NGINX 实例受影响,其中美国(约 5340 万)和中国(约 2540 万)是暴露程度最高的国家。
为什么重要
此次发现对网络安全行业意义重大。传统 AI 工具多依赖已知漏洞模式匹配,而 depthfirst 系统能理解复杂业务逻辑和跨模块交互,发现此前顶级 AI 工具都遗漏的漏洞。这意味着 AI 安全分析正从“辅助人类”向“自主发现”跃迁。如果该系统能系统性地复现这类发现,将极大改变漏洞挖掘的工作范式——从数年人工代码审计,压缩至数小时自动化扫描。对于依赖 NGINX 的云服务商、CDN 厂商和大型互联网企业,这意味着之前被动等待补丁的安全策略需要重新评估。
对用户/开发者/创作者的影响
对开发者:如果部署了 NGINX 且使用了 rewrite 和 set 指令组合的配置,应立即核查。对运维团队:建议尽快将 NGINX 升级至 1.31.0 或 1.30.1,特别是处理用户输入的重写规则场景。对企业采购方:在选择安全工具时,AI 自主发现漏洞的能力正在成为新的效率指标。对普通用户:无需直接操作,但应关注自己访问的服务商是否完成修补。
AI 工具推荐
想把多个 AI 模型放在一个入口?
GamsGo AI 集成 ChatGPT、DeepSeek、Gemini、Claude、Midjourney、Veo 等常用模型,适合写作、绘图、视频和日常 AI 工作流。
推广链接:通过此链接购买,我可能获得佣金,不影响你的价格。
值得关注的后续
目前公开信息显示,值得关注以下三点:一、depthfirst 系统的技术细节是否公开,其扫描效率能否在其他基础设施软件(如 Apache、OpenSSL)上复现;二、行业内其他安全厂商是否快速跟进类似能力,推动 AI 漏洞发现工具化产品化;三、NGINX 社区对这类“潜伏 18 年”漏洞的响应速度,是否会影响用户对开源基础设施维护状态的信任度。
来源:Readhub · AI
