过去 30 天发生了至少四次严重安全事件——cPanel CVE-2026-41940、Canvas LMS 2.75 亿用户被勒索、Linux 内核 Copy.Fail 和 Dirty Frag 漏洞——全部遵循同一个模式:漏洞被公开发现的同一天甚至更早,黑客已经在大规模利用。这不是巧合,是 AI 工具正在压缩"漏洞被发现"到"补丁发布"之间的那段安全时间差。如果你管理着任何网站、邮件账户、电商系统或公司数据,请马上把操作系统、浏览器、控制面板都升级到最新版本,并确保有可以回滚的异地备份。
过去 30 天发生了什么
| 事件 | 日期 | 影响 |
|---|---|---|
| cPanel CVE-2026-41940 认证绕过 | 起被利用,公开 | 约 150 万台 cPanel 服务器,CVSS 9.8。攻击者无需用户名密码即可登入控制面板 |
| Copy.Fail(CVE-2026-31431)Linux 内核提权 | 公开 | Linux 自 2017 年起所有主流发行版。一个 732 字节的 Python 脚本就能把普通用户提到 root |
| Canvas LMS 被 ShinyHunters 攻破 | – | 8809 所院校、约 2.75 亿用户。Instructure 据传付了 1000 万美元赎金 |
| Dirty Frag(CVE-2026-43284、43500)Linux 内核 | 覆盖近 9 年的内核版本。补丁公开前 PoC 已流出 |
我们以前依赖的"时间差",正在消失
在维护过几百个客户网站之后,5U Website 已经习惯了各种安全更新的节奏,但过去这一个月让所有旧经验都需要重新评估。从前的逻辑是:安全研究员私下发现漏洞,联系厂家,厂家做补丁,过几周或几个月发布更新;CVE 公开的时候,大部分人已经打过补丁了。CISA、NVD 这些机构存在本身,就是为了让"白客"能跑在"黑客"前面几步。
这套逻辑现在出问题了。Anthropic 在 发布了 Claude Mythos Preview(本来不是为安全设计的通用模型),但 Anthropic 自己试了一下发现,Mythos 在 OpenBSD 这种以安全著称的系统里挖出了一个 27 年没人发现的远程崩溃漏洞,在 FFmpeg 里挖出 16 年的旧伤,在 Linux 内核里能自己串起好几个漏洞,从普通用户提到完全控制。7 周内,Mythos 发现了约 2000 个新漏洞,覆盖每一个主流操作系统和浏览器。
具体一点:
- Mozilla Firefox 在 让 Claude Opus 4.6 跑了两周,发现 100 多个 bug、22 个高危 CVE。Firefox 148 已经修复并发布。
- Mythos 在 又找出 271 个 Firefox 新漏洞,比人类团队过去 18 个月加起来还多。Firefox 150 一次性修了这 271 个。
- 上面表格里的 Copy.Fail 漏洞,最初是被一个叫 Xint Code 的 AI 工具发现的,"一个操作员指令,没有任何脚手架,约一小时扫描时间"。
问题是,找漏洞这件事既可以白客做,也可以黑客做。当 AI 把"找一个未知漏洞"的成本从几个月压到一个小时,黑客和白客同时拿到了这个能力。
Anthropic 在做什么:Project Glasswing
Anthropic 公开承认,Mythos 这种级别的能力如果直接放给公众,是有风险的。他们做了三件事:
- Mythos 暂不公开发行。只通过 Project Glasswing 向一批关键合作方开放,让他们先用这个工具修补自己产品里的漏洞。
- 启动 Project Glasswing。2026 年 4 月成立,首批合作方包括 AWS、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorganChase、Linux Foundation、Microsoft、NVIDIA、Palo Alto Networks。Verizon 在 加入。
- 掏出 1 亿美元的模型使用额度给 Glasswing 参与者,用于扫描他们维护的关键代码库、修补已知漏洞。
但 Anthropic 自己也清楚一件事:他们能做到,别人也能做到。Glasswing 在抢的不是"永远的安全",是几个月的时间差。等其他实验室的同等模型出来,世界会更危险。
普通中小企业怎么办
5U Website 的客户多数是温哥华本地的中小企业。我们不建议这次再观望——升级补丁这件事,能早一天就早一天。下面是我们对客户的直接建议:
1. 不要再有侥幸心态。过去你可能觉得"我家这小生意,黑客看不上"。这是旧逻辑。现在黑客用 AI 扫一整片 IP 段比你下班泡杯咖啡还快。Canvas 被攻破的时候,受害人里有美国前 100 大学,也有几百人规模的小学院,自动化攻击不会按机构规模筛选。
2. 操作系统和浏览器要"出新版就升"。过去说"再观望一阵,等小数点后两位的版本",是合理策略。现在不是。Firefox 148 修了 22 个 CVE,Firefox 150 修了 271 个,你晚装一个月,就裸奔一个月。手机系统、Windows、macOS 也一样。
3. 服务器和网站要用官方推荐的最新稳定版。用 cPanel?现在就查版本号。网站跑在某台 Linux 服务器上?让你的 hosting 服务商告诉你内核是哪个版本,Copy.Fail 和 Dirty Frag 的补丁打了没有。如果对方支吾,那本身就是答案。
4. 必须有"可以回滚"的备份。本地 RAID 不算备份。同一个 hosting 商的"自动备份"也不算,他们被黑了你也一起完蛋。需要的是异地、加密、可恢复的备份,并且偶尔真的演练一次恢复。完整的备份策略——7+3+12 还原点加上只写远程存储——见我们的备份策略指南。
5U Website 做了什么
对我们管理的客户网站:
- 关键 CVE 公开后 24 小时内评估影响 + 应用补丁。Copy.Fail 和 Dirty Frag 的内核更新,已经在客户服务器上滚完。cPanel 客户的认证绕过补丁第一时间升级。
- 所有客户网站维护异地加密备份。出问题可以回滚到上一个干净的版本,不论是被勒索软件加密,还是被植入恶意脚本。
- 我们也持续跟踪 Anthropic、CISA、NVD、Red Hat 这些渠道的安全公告。出新的就处理,不等客户来问。
这阵子的互联网会经历一段比较粗糙的过渡期。Glasswing 跑赢黑客几个月,对整个世界都是好消息;但作为用户和站长,我们没法赌上自己的生意去等那几个月。先把能修的补上,把能备份的备份好。
