OpenSSL是保护互联网大部分领域的安全标准,网络安全研究人员近期在该标准中发现了潜伏数十年未被察觉的漏洞。Aisle公司的网络安全团队在一篇博客文章中报告称,他们在OpenSSL的代码库中发现了12个CVE,并已为所有12个CVE发布了修复程序。所有这些漏洞都是在人工智能驱动的安全工具的帮助下才被发现的。
这12个CVE包含了高、中、低不同严重等级的变体。CVE-2025-15467是一个栈缓冲区溢出漏洞,可能使攻击者在特定条件下执行远程命令。CVE-2025-11187则是一个利用了缺失验证的漏洞,可能触发基于栈的缓冲区溢出。前者被认为是高严重性,后者被认为是中严重性。
所有高和中严重性的CVE:
CVE-2025-15467:CMS AuthEnvelopedData解析中的栈缓冲区溢出(高):一个在特定条件下可能实现远程代码执行的漏洞。
CVE-2025-11187:PKCS#12中的PBMAC1参数验证(中):缺失验证,可能触发基于栈的缓冲区溢出。
低严重性CVE:
CVE-2025-15468:QUIC协议密码处理中的崩溃
CVE-2025-15469:影响后量子签名算法(ML-DSA)的静默截断错误
CVE-2025-66199:通过TLS 1.3证书压缩导致内存耗尽
CVE-2025-68160:行缓冲中的内存损坏(影响可追溯到OpenSSL 1.0.2的代码)
CVE-2025-69418:硬件加速路径上OCB模式的加密缺陷
CVE-2025-69419:PKCS#12字符编码中的内存损坏
CVE-2025-69420:时间戳响应验证中的崩溃
CVE-2025-69421:PKCS#12解密中的崩溃
CVE-2026-22795:PKCS#12解析中的崩溃
CVE-2026-22796:PKCS#7签名验证中的崩溃(影响可追溯到OpenSSL 1.0.2的代码)
其余被认为是低严重性的CVE,涵盖了OpenSSL的各种行为,范围从内存耗尽、内存损坏、加密缺陷到直接崩溃。
Aisle报告称,这12个漏洞中至少有一部分可以一直追溯到1998年。这一发现揭示了人工手动漏洞检测可能存在的问题有多大。OpenSSL是实现用于安全目的的SSL和TLS协议最流行的工具之一。如果你曾经访问过使用HTTPS网址的网站,那么该网站很可能就是使用OpenSSL进行加密和保护的。
这家网络安全公司的人工智能工具集具备上下文感知检测功能,能够理解其审查代码的上下文。然后,它会通过一系列步骤来识别威胁,包括为项目分配优先级分数以减少误报。
人工智能辅助安全正在安全行业中被迅速采用,以提高安全系统的整体有效性,尤其是增强安全系统和公司抵御当前困扰世界的人工智能辅助犯罪攻击浪潮的能力。例如,几年前人工智能研究人员构建了一个人工智能驱动的安全系统,能够以82.8%的准确率预测犯罪行为。
