AI 在全球最大開源醫療紀錄軟體中發現 38 個安全漏洞

背景

AISLE 安全研究團隊於 2026 年第一季利用其開發的 AI 分析引擎，針對全球最廣泛使用的開源醫療紀錄軟體 OpenEMR 進行審查，成功挖掘出 38 個 CVE 漏洞。OpenEMR 服務全球超過 10 萬家醫療機構與 2 億名患者，這項發現不僅超越了 2018 年由人類團隊進行的大型審計成果，更揭示了醫療數位化過程中潛藏的資安風險。

社群觀點

Hacker News 的討論主要圍繞在「AI 發現的漏洞是否具備技術含金量」以及「這類工具在開發流程中的定位」。許多資深開發者指出，這次發現的 38 個漏洞大多屬於 SQL 注入、跨站腳本攻擊（XSS）或不安全的直接對象引用（IDOR）等「低垂的果實」。批評者認為，這些問題在 2026 年依然存在於核心醫療軟體中令人震驚，因為傳統的靜態分析工具（SAST）或基本的程式碼審查清單理應就能捕捉到字串拼接導致的 SQL 注入。部分留言者甚至直言，任何受過基礎訓練的初級工程師都不該犯下這種錯誤，質疑 OpenEMR 開發團隊的專業素養。

然而，另一派觀點則對 AI 安全掃描器的價值給予肯定。支持者認為，儘管這些漏洞在技術上並不新穎，但現實情況是即便強大的開發團隊也難免會有疏漏。AI 的優勢在於它能以極低的成本進行大規模、不間斷的掃描，扮演了「自動化計算機」的角色，將人類從枯燥的檢查清單中解放出來。討論中也提到，雖然傳統工具如 SonarQube 也能偵測部分問題，但 AI 掃描器在處理複雜的邏輯漏洞（如 IDOR 或權限繞過）時可能具有更好的適應性。

此外，社群對於 OpenEMR 的市佔率數據表示懷疑。有在醫療資訊領域工作十餘年的專業人士表示從未聽聞此平台，推測其用戶可能多集中於資源較匱乏的地區或特定的小型診所。關於 AI 在資安領域的未來，多數人達成共識：無論開發者是否喜歡 AI，攻擊者必然會利用 AI 來尋找漏洞。因此，將 AI 納入防禦體系、用於強化審計與生成修復補丁，已不再是選項而是必然的趨勢。這場討論最終導向一個務實的結論：AI 並非取代人類，而是提高了資安的底線，讓開發團隊能更專注於處理更深層的架構問題。

延伸閱讀

• 墨西哥政府遭駭客利用 Claude 攻擊之相關討論。
• Project Insecurity 2018 年針對 OpenEMR 的安全性審計報告。
• Netflix 開發的 Chaos Monkey 系統穩定性測試工具。