AI 與網絡安全:互聯網正變得越來越危險

過去 30 天發生了至少四次嚴重安全事件——cPanel CVE-2026-41940、Canvas LMS 2.75 億用戶被勒索、Linux 內核 Copy.Fail 和 Dirty Frag 漏洞——全部遵循同一個模式:漏洞被公開發現的同一天甚至更早,駭客已經在大規模利用。這不是巧合,是 AI 工具正在壓縮"漏洞被發現"到"補丁發佈"之間的那段安全時間差。如果你管理著任何網站、電郵帳號、電商系統或公司資料,請馬上把作業系統、瀏覽器、控制面板都升級到最新版本,並確保有可以回滾的異地備份。

AI 與網絡安全:互聯網正變得越來越危險
AI 工具正在壓縮"漏洞被發現"到"被大規模利用"之間的那段安全時間差,讓互聯網變得越來越不安全。

過去 30 天發生了什麼

事件日期影響
cPanel CVE-2026-41940 認證繞過起被利用,公開約 150 萬台 cPanel 服務器,CVSS 9.8。攻擊者無需用戶名密碼即可登入控制面板
Copy.Fail(CVE-2026-31431)Linux 內核提權公開Linux 自 2017 年起所有主流發行版。一個 732 字節的 Python 腳本就能把普通用戶提到 root
Canvas LMS 被 ShinyHunters 攻破8809 所院校、約 2.75 億用戶。Instructure 據傳付了 1000 萬美元贖金
Dirty Frag(CVE-2026-43284、43500)Linux 內核覆蓋近 9 年的內核版本。補丁公開前 PoC 已流出

我們以前依賴的"時間差",正在消失

在維護過幾百個客戶網站之後,5U Website 已經習慣了各種安全更新的節奏,但過去這一個月讓所有舊經驗都需要重新評估。從前的邏輯是:安全研究員私下發現漏洞,聯繫廠家,廠家做補丁,過幾週或幾個月發佈更新;CVE 公開的時候,大部分人已經打過補丁了。CISA、NVD 這些機構存在本身,就是為了讓"白客"能跑在"駭客"前面幾步。

這套邏輯現在出問題了。Anthropic 在 發佈了 Claude Mythos Preview(本來不是為安全設計的通用模型),但 Anthropic 自己試了一下發現,Mythos 在 OpenBSD 這種以安全著稱的系統裡挖出了一個 27 年沒人發現的遠程崩潰漏洞,在 FFmpeg 裡挖出 16 年的舊傷,在 Linux 內核裡能自己串起好幾個漏洞,從普通用戶提到完全控制。7 週內,Mythos 發現了約 2000 個新漏洞,覆蓋每一個主流作業系統和瀏覽器。

具體一點:

  • Mozilla Firefox 在 讓 Claude Opus 4.6 跑了兩週,發現 100 多個 bug、22 個高危 CVE。Firefox 148 已經修復並發佈。
  • Mythos 在 又找出 271 個 Firefox 新漏洞,比人類團隊過去 18 個月加起來還多。Firefox 150 一次性修了這 271 個。
  • 上面表格裡的 Copy.Fail 漏洞,最初是被一個叫 Xint Code 的 AI 工具發現的,"一個操作員指令,沒有任何腳手架,約一小時掃描時間"。

問題是,找漏洞這件事既可以白客做,也可以駭客做。當 AI 把"找一個未知漏洞"的成本從幾個月壓到一個小時,駭客和白客同時拿到了這個能力

Anthropic 在做什麼:Project Glasswing

Anthropic 公開承認,Mythos 這種級別的能力如果直接放給公眾,是有風險的。他們做了三件事:

  1. Mythos 暫不公開發行。只通過 Project Glasswing 向一批關鍵合作方開放,讓他們先用這個工具修補自己產品裡的漏洞。
  2. 啟動 Project Glasswing。成立,首批合作方包括 AWS、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorganChase、Linux Foundation、Microsoft、NVIDIA、Palo Alto Networks。Verizon 在 加入。
  3. 掏出 1 億美元的模型使用額度給 Glasswing 參與者,用於掃描他們維護的關鍵代碼庫、修補已知漏洞。

但 Anthropic 自己也清楚一件事:他們能做到,別人也能做到。Glasswing 在搶的不是"永遠的安全",是幾個月的時間差。等其他實驗室的同等模型出來,世界會更危險。

普通中小企業怎麼辦

5U Website 的客戶多數是溫哥華本地的中小企業。我們不建議這次再觀望——升級補丁這件事,能早一天就早一天。下面是我們對客戶的直接建議:

1. 不要再有僥倖心態。過去你可能覺得"我家這小生意,駭客看不上"。這是舊邏輯。現在駭客用 AI 掃一整片 IP 段比你下班泡杯咖啡還快。Canvas 被攻破的時候,受害人裡有美國前 100 大學,也有幾百人規模的小學院,自動化攻擊不會按機構規模篩選。

2. 作業系統和瀏覽器要"出新版就升"。過去說"再觀望一陣,等小數點後兩位的版本",是合理策略。現在不是。Firefox 148 修了 22 個 CVE,Firefox 150 修了 271 個,你晚裝一個月,就裸奔一個月。手機系統、Windows、macOS 也一樣。

3. 服務器和網站要用官方推薦的最新穩定版。用 cPanel?現在就查版本號。網站跑在某台 Linux 服務器上?讓你的 hosting 服務商告訴你內核是哪個版本,Copy.Fail 和 Dirty Frag 的補丁打了沒有。如果對方支吾,那本身就是答案。

4. 必須有"可以回滾"的備份。本地 RAID 不算備份。同一個 hosting 商的"自動備份"也不算,他們被黑了你也一起完蛋。需要的是異地、加密、可恢復的備份,並且偶爾真的演練一次恢復。完整的備份策略——7+3+12 還原點加上只寫遠程存儲——見我們的備份策略指南

5U Website 做了什麼

對我們管理的客戶網站:

  • 關鍵 CVE 公開後 24 小時內評估影響 + 應用補丁。Copy.Fail 和 Dirty Frag 的內核更新,已經在客戶服務器上滾完。cPanel 客戶的認證繞過補丁第一時間升級。
  • 所有客戶網站維護異地加密備份。出問題可以回滾到上一個乾淨的版本,不論是被勒索軟件加密,還是被植入惡意腳本。
  • 我們也持續跟蹤 Anthropic、CISA、NVD、Red Hat 這些渠道的安全公告。出新的就處理,不等客戶來問。

這陣子的互聯網會經歷一段比較粗糙的過渡期。Glasswing 跑贏駭客幾個月,對整個世界都是好消息;但作為用戶和站長,我們沒法賭上自己的生意去等那幾個月。先把能修的補上,把能備份的備份好。

5U® 無憂的咨詢

免費估價

778-883-9222

1 天内保證回復
2 小時咨詢时间

微信諮詢

微信客服

5U® 無憂的諮詢

微信諮詢

778-883-9222

0費用專業諮詢
1天內保證回复
2小時諮詢時間