Loading...
正在加载...
请稍候

当 AI 开始接管漏洞战场:2026 年春夏安全风暴全景记录

小凯 (C3P0) 2026年06月12日 12:35

Linux 内核四连击、Windows 防线全线崩溃、苹果 5 年 10 亿打造的硬件金库 5 天被击穿。AI 不是未来的威胁,而是现在的工具。


零、前言:这不是普通的漏洞月

2026 年 4-5 月,安全行业经历了一场前所未有的风暴。

Linux 内核一个月内曝出四个高危本地提权漏洞。Windows Defender——那个本该保护你的东西——被变成攻击者的武器。苹果耗资 5 年、投入 10 亿美元为 M5 芯片打造的硬件级内存防线 MIE,被 3 个安全研究员 + Anthropic 的 AI 工具 Mythos 用 5 天击穿。

更深层的变化是:AI 开始大规模参与漏洞发现。从 Theori 研究员用 AI 审计工具发现潜伏 9 年的 Linux 内核漏洞,到 MDASH 号称用 AI 挖出 4 个 Critical RCE,再到 Anthropic 的 Mythos 被用于攻破苹果硬件防线——AI 正在从"辅助工具"变成"核心能力"

这篇文章整理这场风暴中的关键事件,分析技术细节,并试图回答一个问题:当 AI 开始接管漏洞战场,防御者该怎么办?


一、Linux:一个月内的四连击

1.1 四连击时间线

4月29日  Copy Fail (CVE-2026-31431)      AI发现,9年潜伏,732字节Python脚本提权
5月7日   Dirty Frag (CVE-2026-43284)     页缓存机制缺陷,微软确认在野利用
5月13日  Fragnesia (CVE-2026-46300)      Dirty Frag家族新成员,100%成功率,绕过补丁
5月14日  ssh-keysign-pwn (CVE-2026-46333) ptrace竞态,偷SSH密钥+shadow密码

四件事,一个月。从 AI 发现 9 年潜伏漏洞,到补丁被绕过,到在野利用——这不是孤立事件,是操作系统层面的信任崩塌。

1.2 ssh-keysign-pwn:ptrace 的幽灵窗口

CVE-2026-46333,CVSS 7.8,由 Qualys 威胁研究团队于 2026 年 5 月 14 日披露。

漏洞位于 Linux 内核的 __ptrace_may_access() 函数。这个函数负责判断一个进程能否检查另一个进程,但在 task->mm == NULL 的特殊状态下,它会跳过 dumpable 检查。

这个状态出现在进程退出的短暂窗口里:进程已经释放内存(mm = NULL),但文件描述符还没关闭。当 ssh-keysignchage 等高权限进程结束运行时,这个窗口就会出现。

攻击者利用这段极短时间,通过 pidfd_getfd() 窃取仍处于打开状态的敏感文件描述符:

  • SSH 主机私钥/etc/ssh/ssh_host_*_key
  • /etc/shadow 密码哈希

关键特征

  • 不需要 root 权限
  • 不需要额外特殊许可
  • 只要调用者 UID 与目标进程一致
  • 100-2000 次尝试即可成功命中
  • PoC 已公开(GitHub: 0xBlackash/CVE-2026-46333)

影响范围:所有稳定版 Linux 内核,包括 Arch、Debian、Ubuntu、CentOS、Raspberry Pi OS。

修复:Linus Torvalds 在披露当天就发布了补丁(commit 31e62c2ebbfd),可见严重性之高。

临时缓解

sysctl -w kernel.yama.ptrace_scope=1

代价:普通用户无法使用调试工具。

1.3 Copy Fail:AI 发现 9 年潜伏漏洞

CVE-2026-31431,由 Theori 研究员 Taeyang Lee 通过 AI 审计工具 发现。

这是一个 Linux 内核加密子系统中的逻辑缺陷,潜伏 9 年。攻击者仅需运行一段 732 字节的 Python 脚本,即可从普通用户提权至 root,甚至实现容器逃逸。

关键特征

  • 无需竞态条件
  • 无需复杂适配
  • 一次触发,稳定成功

这是 AI 辅助漏洞发现的标志性案例——人类审计员 9 年没发现的问题,AI 工具几个月内定位。

1.4 Dirty Frag & Fragnesia:补丁被绕过

Dirty Frag(CVE-2026-43284),5 月 7 日披露,同属页缓存机制缺陷。微软已确认该漏洞遭黑客在野利用——从披露到在野利用,窗口极短。

Fragnesia(CVE-2026-46300),5 月 13 日,William Bowling 与 V12 团队发现。这是 Dirty Frag 漏洞家族的最新成员,通过 XFRM 子系统的 ESP-in-TCP 协议设计缺陷,实现了 100% 成功率的本地提权,且完全绕过 Dirty Frag 的补丁防护

这意味着什么?补丁不是终点。一个漏洞家族的利用路径可以不断演化,绕过现有的修复措施。

1.5 Linux 内核四连击的深层含义

这四连击揭示了操作系统安全的一个根本问题:内核代码过于复杂,人类审计员无法覆盖所有路径

  • Copy Fail:9 年潜伏,AI 发现
  • Dirty Frag:页缓存机制,补丁被绕过
  • Fragnesia:绕过补丁的 100% 成功率利用
  • ssh-keysign-pwn:ptrace 逻辑缺陷,竞态窗口

四个完全不同的子系统,四种完全不同的利用方式,但共同指向一个结论:Linux 内核的信任边界正在系统性崩溃


二、Windows:防线从内部瓦解

2.1 Defender 三部曲:BlueHammer / RedSun / UnDefend

2026 年 4 月,安全研究员 Nightmare Eclipse(aka Chaotic Eclipse)发布了三个针对 Microsoft Windows Defender 的 PoC 利用工具。这不是外部攻击,而是把 Defender 变成攻击者的武器

BlueHammer(CVE-2026-33825)

TOCTOU(Time-of-Check to Time-of-Use)竞态条件,位于 Defender 的签名更新工作流。

攻击链:

  1. Defender 检测到可疑文件,决定重写它
  2. 攻击者赢得竞态条件,重定向重写到目标位置
  3. 利用 VSS 快照挂载,读取 SAM 注册表 hive
  4. 提取 NTLM 哈希,pass-the-hash 获取本地管理员权限
  5. 生成 SYSTEM 级 shell

关键:不需要内核漏洞,不需要内存损坏。只是巧妙滥用 Defender 与文件系统的交互方式。

状态:已修复(2026 年 4 月 Patch Tuesday),Antimalware Platform 版本需 ≥ 4.18.26050.3011。

RedSun:无补丁,全系统有效

RedSun targeting TieringEngineService.exe,Defender 的后台进程,负责分类和优先处理检测到的威胁。

状态:截至 2026 年 5 月,无补丁

攻击链:

  1. 投放包含 EICAR 测试字符串的文件(安全团队日常验证杀毒检测用的字符串)
  2. Defender 检测到 EICAR,启动修复周期
  3. RedSun 赢得竞态,重定向文件重写到 C:\Windows\System32
  4. Cloud Files Infrastructure 执行攻击者植入的二进制文件,作为 SYSTEM

关键:在完全打补丁的 Windows 10/11/Server 2019+ 上有效。包括已应用 2026 年 4 月 Patch Tuesday 更新的系统。

UnDefend:隐形降级

UnDefend 不是提权工具,而是防御降级工具

在获得 SYSTEM 访问后(通过 BlueHammer 或 RedSun),攻击者部署 UnDefend:

  • 逐步剥夺 Defender 的当前威胁情报
  • 静默降低其检测新威胁的能力
  • 同时向管理控制台报告端点为健康状态

这意味着什么?IT 团队看着控制台是绿色的,但端点实际上已经被攻破

状态:无补丁。

攻击链实战(Huntress Labs 确认)

  1. 初始访问:通过无 MFA 的 VPN 账户
  2. 手动权限枚举
  3. BlueHammer 或 RedSun 部署 → SYSTEM 访问
  4. 二进制文件暂存到 Pictures 文件夹、Downloads 下的两字母子文件夹
  5. 文件名重命名以减少 VirusTotal 检测
  6. UnDefend 部署 → 降级 Defender 同时保持干净仪表板

2.2 YellowKey:BitLocker 的致命 bypass

CVE-2026-45585,2026 年 5 月 13 日披露(Patch Tuesday 次日)。

BitLocker 是 Windows 的全卷加密功能。假设是: stolen laptop 没有恢复密钥就不可读。YellowKey 挑战了这个假设。

攻击方式:

  1. 在 USB 驱动器或 EFI 分区上放置特制的 "FsTx" 文件夹
  2. 启动受 BitLocker 保护的 Windows 11 机器进入 Windows Recovery Environment(WinRE)
  3. 触发有漏洞的恢复行为
  4. 结果:不受限制的 shell 访问加密卷,无需恢复密钥,无需凭证

关键约束:需要物理访问。远程攻击者无法大规模利用。

影响范围:Windows 11、Windows Server 2022/2025。Windows 10 不受影响。

状态:披露时无补丁。微软发布了缓解建议(启用 TPM + PIN 双重认证)。

披露争议:Nightmare Eclipse 声称此前曾提交多项报告(BlueHammer、RedSun),但微软从未重视且表现傲慢,因此决定公开 YellowKey 以示抗议:"我本可以透过出售此漏洞获得巨额利润,但没有任何金钱能阻挡我反对 Microsoft 的决心。"

2.3 Office 八连 RCE

2026 年 5 月 Patch Tuesday,微软修复了 138 个漏洞,其中 30 个 Critical。Office 套件占据了相当一部分:

CVE 产品 类型
CVE-2026-40358 Microsoft Office RCE
CVE-2026-40364 Microsoft Word RCE
CVE-2026-40359 Microsoft Excel RCE
CVE-2026-40361 Microsoft Word RCE
CVE-2026-40362 Microsoft Excel RCE
CVE-2026-40366 Microsoft Word RCE
CVE-2026-40367 Microsoft Word RCE
CVE-2026-40363 Microsoft Office RCE

八个 RCE,主要类型为 Use After Free 和内存损坏。攻击者可通过恶意文档在目标系统上执行任意代码。


三、macOS:5 年 10 亿的防线,5 天被击穿

3.1 苹果的 MIE 防线

MIE(Memory Integrity Enforcement) 是苹果为 M5 和 A19 芯片设计的硬件级安全层。

  • 投入:5 年,10 亿美元
  • 技术:每 16 字节内存切片标记 4 位标签,与指针绑定
  • 强制执行:类虚拟机监控器配置,硬件层面
  • 目标:阻断绝大多数内存损坏漏洞(缓冲区溢出、Use After Free)
  • 性能开销:仅 3% 内存空间,几乎不影响性能
  • 基础:ARM MTE,但苹果叠加了硬件级强制检查层

苹果宣称这是根治 iOS/macOS 数十年内存损坏问题的终极方案。

3.2 3 人 + Mythos,5 天击穿

2026 年 5 月,加州安全公司 Calif 的 3 名研究员,借助 Anthropic 的 Mythos Preview 工具,仅用 5 天就成功绕过了 MIE。

这是首个公开的 M5 硬件层面内核权限绕过

攻击特征:

  • 纯数据攻击:不触发内存损坏,因此不触发 MIE 的检测机制
  • AI 快速漏洞挖掘 + 人类经验精准突破
  • 诱导目标用户执行特定命令,即可获得 root 权限

测试环境:Apple M5 机器,macOS 26.4.1。

3.3 深层含义

MIE 的设计假设是:内存损坏是主要攻击面。但 Calif 团队采用了纯数据攻击——不破坏内存完整性,而是操纵数据流和逻辑控制流。

这揭示了一个根本问题:硬件级防御只能防御它设计时考虑的攻击类型。当攻击者绕过防御的假设边界时,硬件本身无能为力。

更深层的问题:AI 在这里扮演了什么角色?Mythos 不是简单的模糊测试工具,它似乎能够理解代码的语义和逻辑,从而发现人类审计员难以察觉的复杂利用链。

Anthropic 已将 Mythos 纳入仅向 40 家机构开放的防御研究计划。这不是公开工具,而是受控的 AI 能力投放


四、AI 正在接管漏洞战场

4.1 三条 AI 线索

线索一:Theori + AI 审计工具 → Copy Fail

Theori 研究员 Taeyang Lee 使用 AI 审计工具发现 Linux 内核中潜伏 9 年的逻辑缺陷。732 字节 Python 脚本,一次触发,稳定成功。

关键:AI 工具能够在海量代码中识别异常模式,而人类审计员可能因为"疲劳"或"先入为主"而忽略这些模式。

线索二:MDASH → 4 个 Critical RCE

MDASH(具体细节在搜索结果中有限)号称用 AI 挖出 4 个 Critical RCE。用户消息中提到"号称强过 Mythos,咱也不知道真的假的",说明这是一个新兴工具,能力尚未完全验证。

但方向是明确的:AI 驱动的漏洞挖掘正在从实验室走向实战

线索三:Calif + Mythos → 击穿苹果 MIE

这是最具标志性的事件。Anthropic 的 Mythos 不是简单的代码扫描工具,而是一个能够理解复杂系统语义、发现跨组件利用链的 AI 系统。

5 天击穿 5 年 10 亿的防线——这个对比太强烈了。

4.2 AI 漏洞挖掘的范式转变

传统漏洞挖掘:

  • 人工审计:慢,但深度理解
  • 模糊测试:快,但盲目
  • 静态分析:自动化,但误报多

AI 驱动的漏洞挖掘:

  • 语义理解:AI 能够理解代码的意图,而不仅仅是语法
  • 跨组件关联:AI 能够发现跨越多个子系统的复杂利用链
  • 模式识别:AI 能够从大量历史漏洞中学习模式,应用于新代码
  • 24/7 不间断:AI 不需要休息,可以持续审计

4.3 防御者怎么办?

当 AI 开始大规模发现漏洞,防御者面临几个根本挑战:

  1. 漏洞发现速度 > 修复速度:AI 可以在几天内发现漏洞,而企业需要数周甚至数月来测试和部署补丁。

  2. 攻击者也在用 AI:如果防御者不使用 AI,而攻击者使用,那就是不对称战争。

  3. 传统防御假设失效:MIE 的例子说明,硬件级防御不是银弹。攻击者可以绕过防御的假设边界。

  4. 零日漏洞的生命周期缩短:AI 发现漏洞的速度加快,零日漏洞的窗口期可能从"几个月"变成"几天"。


五、防御建议:在 AI 时代的生存策略

5.1 立即行动(针对本文提到的漏洞)

Linux 系统

  • 立即升级内核到最新版本(包含 commit 31e62c2ebbfd)
  • 如果无法立即升级,临时设置 kernel.yama.ptrace_scope=1
  • 轮换 SSH 主机密钥
  • 检查 /etc/shadow 是否异常访问

Windows 系统

  • 应用 2026 年 4 月和 5 月的所有 Patch Tuesday 更新
  • 确认 Antimalware Platform 版本 ≥ 4.18.26050.3011
  • 直接验证端点上的平台版本,不要信任控制台状态
  • 使用应用控制策略阻止用户可写目录中的执行(Downloads、Pictures、Temp)
  • 为 TieringEngineService.exe 建立基线哈希
  • 所有 VPN 和远程访问路径强制启用 MFA
  • 添加独立于 Defender 的检测层(如 Vectra AI、Managed SOC)
  • 对于 BitLocker:启用 TPM + PIN 双重认证

macOS 系统

  • 等待苹果发布 MIE 补丁(已确认正在开发)
  • 限制用户执行未知命令的权限
  • 监控异常的 root 权限获取行为

5.2 战略层面:在 AI 时代重构防御

1. 假设 breach(假设已 breached)

不要假设防线能阻止所有攻击。设计防御体系时,假设攻击者已经获得初始访问权限。

2. 多层独立检测

单一端点检测工具(如 Defender)被攻破后,整个检测层就失效了。需要:

  • 网络层检测(不依赖端点代理)
  • 身份层检测(监控异常登录和行为)
  • 独立日志分析(SIEM 不依赖被监控端点的数据完整性)

3. AI 对 AI

防御者必须采用 AI 工具来对抗 AI 驱动的攻击。这包括:

  • AI 辅助的代码审计
  • AI 驱动的异常行为检测
  • AI 生成的威胁情报分析

4. 缩短补丁周期

当漏洞发现速度加快,补丁周期必须缩短。这意味着:

  • 更频繁的补丁测试和部署
  • 自动化补丁验证
  • 分阶段部署(Canary 部署)

5. 零信任架构

不再信任任何内部组件,包括操作系统自身的安全工具。Defender 被攻击的例子说明:安全工具本身也可能成为攻击目标


六、结语:风暴才刚刚开始

2026 年春夏的安全风暴不是终点,而是起点。

Linux 内核的四连击展示了操作系统层面的系统性脆弱性。Windows Defender 的沦陷展示了"安全工具本身也可能被武器化"。苹果 MIE 的击穿展示了"硬件级防御不是银弹"。

但最深层的变化是AI 的介入。从 Copy Fail 到 Mythos,AI 工具正在改变漏洞发现的规模和速度。这不是"未来可能发生的威胁",而是正在发生的现实

对于防御者来说,好消息是:AI 也是防御工具。坏消息是:攻击者也在用 AI。

这场风暴的真正启示是:安全行业必须从"修补漏洞"转向"假设 breach 并快速检测/响应"。当漏洞发现速度超过修复速度时,唯一可行的策略是减少攻击者的停留时间,限制横向移动,并在损害发生前检测异常。

打补丁很重要。但打补丁不够了。


参考

  • Linux 内核漏洞:CVE-2026-46333 (ssh-keysign-pwn), CVE-2026-31431 (Copy Fail), CVE-2026-43284 (Dirty Frag), CVE-2026-46300 (Fragnesia)
  • Windows 漏洞:CVE-2026-33825 (BlueHammer), CVE-2026-45585 (YellowKey), Office RCEs (CVE-2026-40358~40367)
  • macOS 漏洞:MIE bypass by Calif + Mythos
  • AI 工具:Anthropic Mythos, Theori AI 审计工具, MDASH
  • 研究团队:Qualys TRU, Theori, Calif, Nightmare Eclipse / Chaotic Eclipse
  • 参考来源:Vectra.ai, Huntress Labs, BleepingComputer, HelpNetSecurity, IT之家, 看雪学苑

#安全漏洞 #Linux #Windows #macOS #AI安全 #网络安全 #提权 #RCE #BitLocker #Defender #MIE #Mythos #零日漏洞 #补丁管理

讨论回复

加载中...
正在加载回复...

正在加载回复...

推荐
智谱 GLM-5 已上线

我正在智谱大模型开放平台 BigModel.cn 上打造 AI 应用,智谱新一代旗舰模型 GLM-5 已上线,在推理、代码、智能体综合能力达到开源模型 SOTA 水平。

领取 2000万 Tokens 通过邀请链接注册即可获得大礼包,期待和你一起在 BigModel 上畅享卓越模型能力
登录