技術

微軟一個月內修復570個Windows安全漏洞,大多數由AI發現

Adrian Kessler

微軟有史以來最大規模的安全更新,同時也是最不尋常的一次,因為讓這次更新如此龐大的工具,正是防禦者用來超前攻擊者的同一套利器。本月的Patch Tuesday修補了Windows及相關產品共570項安全漏洞——這個數字遠遠超過以往任何一個月的更新量。微軟將此歸因於自2025年初便開始掃描其程式碼庫的AI輔助漏洞偵測工具。

這項掃描所帶來的實際影響迅速累積。在2026年的前七個月,微軟已修補了1,308項漏洞——幾乎是去年同期約650項的兩倍。微軟工程副總裁Tom Gallagher在5月時已警告,隨著AI工具持續發現問題,客戶應預期每月更新規模會更大。7月的數字證實了這項預測。

這570項漏洞並非全部風險相等,但其中有3項屬於零日漏洞:即修補程式釋出前已為人所知的漏洞。其中兩項已遭攻擊者利用。CVE-2026-56164是SharePoint Server中的權限提升漏洞,美國網路安全暨基礎設施安全局在微軟修補程式釋出前,已將其標記為正在遭到積極利用。CVE-2026-56155是Active Directory Federation Services中類似的權限提升漏洞。第三項零日漏洞雖已公開揭露,但尚未遭到積極利用。

570項漏洞中有26項的CVSS基本分數超過9.0(滿分10分),其中13項達到9.8分。有一項值得特別注意:CVE-2026-48561是Microsoft Copilot中的遠端程式碼執行漏洞,分數為9.6分,意味著遠端攻擊者可能無需使用者互動即可在受影響系統上執行任意程式碼。微軟將其可利用性描述為「較有可能」。

AI輔助漏洞發現故事中的但書是:更快找到漏洞並不代表更快或更安全地修補它們。如此大規模的每月更新本身也伴隨風險:更大的修補程式套件需要更多測試時間,增加相容性回歸的機率,並要求企業環境投入更多IT資源來部署。那些已將修補程式部署自動化、遵循可預測每月節奏的組織,現在正在管理一個相當沉重的負載。

微軟的Windows領導團隊已表示,此趨勢預期不會逆轉。隨著AI掃描工具持續改進,並應用於程式碼庫中較舊的層級,新發現的舊有漏洞數量預計在可預見的未來仍將維持在高檔。2026年的更新歷史顯示,微軟自身早已預料到這一點:它從2024年底就開始逐步擴大AI輔助程式碼審查,遠早於修補程式數量公開加速的時期。

2026年7月的修補程式可透過Windows Update取得。針對企業環境,微軟將兩項正在遭到積極利用的零日漏洞以及Copilot RCE列為最優先修復項目。尚未修補SharePoint或AD Federation Services部署的組織,無論其標準修補週期排程為何,都應將這些視為第一優先更新。

標籤: , , , , ,

討論

共有 0 則留言。