AI驱动零日漏洞发现激增 全球软件安全面临巨大压力

全球软件安全领域正面临由AI驱动的零日漏洞发现激增危机。据Zero Day Initiative数据显示，本月漏洞提交量较去年同期激增490%，部分漏洞赏金计划如Internet Bug Bounty Program已暂停接收报告。

Zero Day Initiative首席威胁意识官Dustin Childs表示，接收漏洞报告的组织正难以应对筛选与响应流程，部分项目因不堪重负而关闭。3月27日，由HackerOne管理的Internet Bug Bounty Program宣布暂停接收漏洞提交，称AI辅助研究正在重塑漏洞发现生态。

Anthropic近期推出Claude Mythos模型，声称其具备自主发现和利用主流操作系统零日漏洞的能力，但因风险过高未公开发布。该公司将该模型提供给封闭组织，以帮助“保护全球最关键软件”。Anthropic表示已发现大量漏洞，但仅披露其中最严重者，以避免给维护者造成“无法管理的工作量”，并称目前仅披露了发现漏洞的一小部分。

开源项目cURL负责人Daniel Stenberg于1月暂停其漏洞赏金计划，称2025年收到的漏洞报告量超过前两年总和，2026年预计将翻倍。他指出，尽管部分报告质量不高，但当前漏洞报告整体质量与数量均显着提升，确认漏洞率已恢复至2024年AI前水平（约15-16%）。

微软4月安全更新修复165个漏洞，为历史上第二高。Childs认为AI是漏洞激增的重要原因，尽管微软否认AI直接导致，但承认Anthropic研究人员发现其中一例漏洞。行业普遍认为，漏洞数量与严重性同步上升，若无法快速应对，用户将面临更大安全风险。

为应对激增的漏洞，Zero Day Initiative已开始使用AI辅助筛选，以识别并过滤“AI垃圾”报告。Childs强调，行业必须加速修复能力，否则用户将难以及时应用补丁，面临被攻击风险。