北京
近日,360集團(SH:601360)自主研發(fā)的漏洞挖掘智能體成功發(fā)現(xiàn)兩項潛伏多年的重大安全漏洞——Windows內(nèi)核提權(quán)漏洞和Office遠程代碼執(zhí)行漏洞,均已上報國家漏洞庫并完成修復(fù)。相關(guān)漏洞影響全球超10億Windows及Office用戶,波及個人終端、政企辦公系統(tǒng)及關(guān)鍵基礎(chǔ)設(shè)施環(huán)境。這也是我國首次公開披露智能體規(guī)模化發(fā)現(xiàn)基礎(chǔ)軟件核心漏洞的能力成果。
圖為:360漏洞挖掘智能體自動化生成Windows內(nèi)核提權(quán)漏洞(CVE-2026-24293)報告
此次曝光的兩項漏洞均屬于影響范圍廣、風(fēng)險等級高的基礎(chǔ)軟件安全隱患。其中,潛伏近5年的Windows內(nèi)核提權(quán)漏洞為高危系統(tǒng)級漏洞,被利用后可能獲取系統(tǒng)最高權(quán)限,進而實現(xiàn)數(shù)據(jù)竊取甚至系統(tǒng)癱瘓,對全球億萬用戶終端及關(guān)鍵基礎(chǔ)設(shè)施環(huán)境構(gòu)成嚴(yán)重安全風(fēng)險。另一項潛伏8年之久的Office遠程代碼執(zhí)行漏洞被評定為Critical(最高危)級別,廣泛影響使用Office辦公軟件的終端環(huán)境,一旦被利用,用戶在打開Word、PPT等常見文檔時即可能面臨遠程控制風(fēng)險。值得關(guān)注的是,該漏洞已潛伏多年,傳統(tǒng)檢測方式長期未能有效識別,360漏洞挖掘智能體在自動化分析過程中實現(xiàn)分鐘級快速定位。憑借此次精準(zhǔn)發(fā)現(xiàn),360獲微軟安全響應(yīng)中心(MSRC)致謝,充分顯示出智能體技術(shù)在復(fù)雜漏洞發(fā)現(xiàn)領(lǐng)域的規(guī)模化應(yīng)用潛力。
圖為:360漏洞挖掘智能體發(fā)現(xiàn)Office遠程代碼執(zhí)行漏洞獲微軟安全響應(yīng)中心(MSRC)致謝
兩項漏洞的發(fā)現(xiàn),源于360近年來持續(xù)構(gòu)建的漏洞挖掘智能體體系。該體系建立在360近20年網(wǎng)絡(luò)安全攻防一線實戰(zhàn)經(jīng)驗基礎(chǔ)之上,萃取了全球頂尖安全專家的知識沉淀,通過多類專項智能體協(xié)同分析,實現(xiàn)漏洞發(fā)現(xiàn)、驗證及利用鏈構(gòu)建等關(guān)鍵環(huán)節(jié)的自動化處理,使復(fù)雜漏洞挖掘逐步由個體經(jīng)驗驅(qū)動轉(zhuǎn)向體系化能力運行。業(yè)內(nèi)認(rèn)為,相比傳統(tǒng)人工審計通常需要數(shù)月至數(shù)年的周期,智能體技術(shù)已可將部分高價值漏洞定位過程壓縮至分鐘級。
據(jù)了解,截至目前該系統(tǒng)已累計挖掘近千個漏洞,其中經(jīng)國家信息安全漏洞庫(CNNVD)、國家信息安全漏洞共享平臺(CNVD)及相關(guān)廠商確認(rèn)的高危漏洞超過50項,多項漏洞屬于全球首次公開發(fā)現(xiàn)。相關(guān)漏洞覆蓋 Windows 操作系統(tǒng)、Office 辦公軟件、OpenClaw、AI編程工具、國產(chǎn)操作系統(tǒng)、安卓系統(tǒng)、郵件服務(wù)器、物聯(lián)網(wǎng)設(shè)備、OA系統(tǒng)等核心領(lǐng)域,影響范圍遍及全球,涉及重大安全風(fēng)險的漏洞均已第一時間上報國家漏洞庫。
隨著AI全面滲透網(wǎng)絡(luò)攻防,安全行業(yè)正迎來顛覆性變革。360集團創(chuàng)始人周鴻祎判斷:“當(dāng)攻擊能力可以被訓(xùn)練進模型并規(guī)模化復(fù)制,一個人即可同時操控數(shù)十甚至上百個‘黑客智能體’,網(wǎng)絡(luò)安全將從‘人與人對抗’進入‘人與機器、機器與機器對抗’的新階段。”他表示,這意味著傳統(tǒng)安全體系正全面失效,安全行業(yè)將迎來一次范式遷移,智能體成為新的基礎(chǔ)能力形態(tài)。
當(dāng)前,漏洞挖掘智能體正成為全球網(wǎng)絡(luò)安全領(lǐng)域的重要前沿方向。美國公司Anthropic近期披露的 Mythos模型被認(rèn)為代表了相關(guān)領(lǐng)域的前沿探索,目前主要在限定范圍內(nèi)開展測試應(yīng)用。業(yè)內(nèi)人士介紹,360較早啟動漏洞挖掘智能體體系建設(shè)并已投入實戰(zhàn)應(yīng)用,目前尚未對外公開,僅用于參與重大漏洞挖掘任務(wù)。
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
