AISLE 發現三項新的 OpenSSL 漏洞

Lesswrong·

AISLE 的自動化系統發現了 2025 年 OpenSSL 四個漏洞中的三個,展示了 AI 在審查最嚴密的程式碼中發現漏洞的驚人能力。這凸顯了 AI 在網路安全中的雙重用途,顯示雖然 AI 能發現可利用的漏洞,但也為自動化防禦和修補提供了顯著優勢。

這篇文章的連結已附上;這似乎是關於我們在自動化網路安全領域進展的更新。

截至 2025 年,在保護絕大多數網路流量的加密函式庫 OpenSSL 中,僅有四個安全漏洞獲得了 CVE 編號。AISLE 的自主系統發現了其中的三個。CVE-2025-9230CVE-2025-9231 以及 CVE-2025-9232

一些簡短的想法:

  • OpenSSL 是有史以來經過最多人工安全審計的開源程式碼之一,因此發現 3 個新漏洞聽起來令人印象深刻。具體有多令人驚訝:我很想聽聽大家的意見。
  • 顯然,漏洞發現是一種某種程度上對稱的能力,因此這也讓我們對攻擊端的能力有所評估。
  • 這為「即使是目前水平的 AI 也能發現並利用的大量漏洞池」提供了具體證據——據我觀察,任何理智的人都相信這確實存在。
  • 另一方面,這並未完全支持「流氓 AI 可以輕易駭入任何系統」的說法。自動化系統也可以修復漏洞,希望這類系統能被部署,而且防禦端似乎很可能在算力上佔據巨大優勢。
  • 「程式即證明」的極限很有可能是由防禦主導的。但另一方面,現實中的程式是物理世界的滲漏抽象(leaky abstractions),在這種情況下,極限在哪裡尚不明確。

Lesswrong

相關文章

  1. AISLE的AI在協調發布中發現全部12項OpenSSL漏洞

    Hacker News · 3 個月前

  2. AI 發現全部 12 個 OpenSSL 零日漏洞,同時 curl 取消漏洞賞金計畫

    3 個月前

  3. AISLE以AI驅動的推理系統擺脫隱匿狀態,即時修補漏洞

    Hacker News · 6 個月前

  4. AI 在 cURL 中發現 50 個漏洞:「原生 AI 靜態分析工具表現良好」

    Hacker News · 7 個月前

  5. 漏洞回報量顯著增加

    Hacker News · 21 天前