GitHub在六小时内修复重大远程代码执行漏洞
GitHub员工在收到安全报告后,于不到六小时内紧急修复了一项高危远程代码执行漏洞。该漏洞可能允许攻击者访问数百万个公开和私有代码仓库。
漏洞由安全公司Wiz Research利用AI模型发现,涉及GitHub内部git基础设施。GitHub首席信息安全官Alexis Wales表示:
“我们的安全团队立即开始验证漏洞赏金报告。40分钟内,我们内部复现了漏洞并确认其严重性。这是一个需要立即处理的严重问题。”
GitHub工程团队在确定根本原因后一小时内完成修复,并部署至GitHub.com和GitHub Enterprise Server。Wales补充:
“不到两小时,我们已验证发现、部署修复,并启动取证调查,确认无被利用迹象。”
这意味着从报告到修复仅用时六小时。
Wiz表示,这是首次通过AI在闭源二进制文件中发现关键漏洞,标志着漏洞发现方式的转变。安全研究员Sagi Tzadik指出:
“这凸显了AI在安全研究中的新角色,尤其是在复杂系统中定位罕见缺陷。”
尽管GitHub响应迅速,但Wiz警告该漏洞“极易被利用”。Wales称:
“此次发现属于最高级别漏洞,获得我们漏洞赏金计划的最高奖励,也提醒我们,最有效安全研究源于善于提问的熟练研究人员。”
该事件发生在GitHub近期多次服务中断之后。上周,GitHub出现随机回退已合并代码提交的问题,引发用户不满。据员工反馈,公司正面临严重可靠性问题与领导层流失,有员工称“公司正在崩塌,频繁中断已严重损害声誉,且高层大量出走。”
编辑点评
此次GitHub漏洞事件凸显了AI在网络安全领域的革命性潜力。Wiz利用AI模型发现闭源系统中的高危漏洞,标志着安全研究从传统手动审计向自动化、智能化转变。这不仅提升了漏洞发现效率,也对全球软件供应链安全提出新挑战——企业必须重新评估其防御体系能否应对AI驱动的攻击面扩展。
同时,GitHub在六小时内完成修复展现了其强大的应急响应能力,但漏洞“极易利用”的特性与近期频繁服务中断形成鲜明对比,暴露其系统复杂性与运营稳定性之间的矛盾。这可能削弱开发者社区对平台的信任,尤其是在其作为全球最大代码托管平台的关键角色下。
从全球科技治理角度看,此类事件促使各国监管机构与企业重新思考AI在安全领域的双重角色:既是防御利器,也可能成为攻击工具。未来,AI驱动的安全测试或将成为强制性合规要求,尤其在涉及开源生态和关键基础设施的领域。同时,企业需平衡技术创新与系统韧性,避免在追求速度与功能的同时牺牲基础稳定性。