漏洞自动贩卖机:一条自主发现并利用零日漏洞的 AI 流水线
2026 年 7 月 15 日,Intruder 披露了一条 LLM 流水线,它自主发现了 300 多个缺陷,其中包括一个存在于被 30 万多个 WordPress 站点使用的 WooCommerce 邮件插件中的未授权 SQL 注入。
这是什么?
2026 年 7 月 15 日,安全公司 Intruder 发布了一份报告,介绍了他们所称的”漏洞自动贩卖机”:一条将传统程序分析与大语言模型相结合的自动化流水线。用该团队的话说,它把 AI 的 token 变成了零日漏洞。这一演示是具体的,而非停留在设想层面——该流水线在真实代码中发现了 300 多个结果,并且至少在一个案例中,把一个缺陷从发现一路推进到可用的漏洞利用,全程无人工介入。
最引人注目的结果,是在一个被广泛部署、覆盖 30 万多个站点的 WordPress 邮件营销插件中,发现了一个此前未知的未授权 SQL 注入。该缺陷本身已获分配 CVE 编号,并于 2026 年 5 月公开披露;7 月这篇报告的新意在于揭示了产生它的那套机器。这里我们报道的是一家具名厂商对进攻性能力的演示,其依据是已经公开记录在案的漏洞,而非操作教程。我们不会复现注入手法。
工作原理
该流水线的核心技巧并不是”让 LLM 在这个文件里找 bug”。把整个代码库丢给模型只会产生噪声:幻觉出的缺陷、被遗漏的跨文件数据流,以及在抵达关键路径之前就已溢出的上下文窗口。Intruder 的做法转而依赖代码切片(code slicing)——一种只提取与某个变量或危险汇聚点相关语句的程序分析技术——从而交给模型的是一段精简且语义完整的代码切片,而非整个代码库。LLM 在这段聚焦的切片上进行推理、提出候选漏洞,随后由框架尝试对其进行验证。
据该报告,此次运行产生了多种类型的缺陷:未授权远程代码执行、隐藏在 linter 抑制注释之后的 SQL 注入、通过 WordPress 钩子系统实现的权限提升、服务端请求伪造(SSRF),以及一条降级攻击链。邮件插件这个案例之所以有代表性,恰恰因为它属于传统扫描器容易漏掉的那类缺陷:它无需授权,但只有在安装了配套的电商插件时才可触达,并且需要多次链式请求才能触发,因此单次请求的特征永远不会命中。值得注意的是,该团队表示,他们使用的是在 Mythos 级别之前即已可用的前沿模型——这说明该能力并不依赖尚未发布的模型。
为什么重要
其意义在经济层面,而不只是技术层面。Help Net Security 在 2026 年 5 月用一个直白的数字概括了同一趋势——每个零日漏洞约 20 美元,已经是 WordPress 插件的现实——而”自动贩卖机”这个比喻把动机点得很透:如果找出一个缺陷只需几美元的推理成本,那么把整个插件生态挖一遍,对攻击者而言就变得合理,而不再只是研究者的事。WordPress 插件市场拥有数以万计、代码质量参差不齐的扩展,几乎是这种做法的理想目标面。
这是我们在防御侧一直追踪的趋势的进攻镜像。它与微软将 AI 驱动的漏洞发现纳入 Windows 补丁周期、由 AI 推动的开源漏洞报告洪流,以及诸如 Knostic 的 OpenAnt 闭环发现和微软的 MDASH 多模型扫描等研究流水线相互呼应。同一种能力,既能让防御者提前消除 bug,也能让攻击者把它们”贩卖”出去;决定性因素在于谁在运行这条流水线,以及维护者响应得有多快。它同样契合由 AI 撰写的零日漏洞指纹所揭示的模式:AI 发现的缺陷正在成为披露经济的常规输入,而非罕见事件。
防御措施
对插件和应用的维护者而言,可落地的教训是:这里的根因既古老又可修复。SQL 注入之所以存在,是因为用户输入未经参数化就进入了查询——标准缓解措施就是预处理语句(WordPress 中的 $wpdb->prepare()),以及对每一个外部可控参数(包括那些只有通过第二个已安装组件才可触达的参数)进行严格的输入校验。不要把 linter 抑制注释当作安全措施:该流水线正是找到了一个隐藏在 PHPCS 忽略注释之后的注入,而压制一条静态分析告警并不能消除 bug,只是把它对下一位审查者藏了起来。请梳理插件之间的交互路径,因为”未授权、但仅在插件 X 也存在时才可利用”,恰恰是自动化工具如今最擅长找到、而人工审查往往会跳过的复合条件。
对运维者而言,请假定你的依赖正在以机器速度被扫描,并据此调整补丁节奏。清点插件及其配套依赖,为你所使用的插件订阅漏洞情报源,并按可利用性与暴露面来排定优先级,而不是对每一条通告一视同仁。对数据库账户授予最小权限,使一个只读注入无法触达管理员哈希与密钥;在链式请求模式前部署 Web 应用防火墙(WAF);并监控单一特征检测会漏掉的多阶段请求序列。更宏观的结论是:AI 降低了发现那些平淡而众所周知的缺陷类别的成本——因此防御上的胜利,依然在于交付本就不含这些缺陷的代码,并缩短从公开披露到补丁落地之间的窗口。
状态
| 项目 | 详情 |
|---|---|
| 披露 | Intruder,《We built a vulnerability vending machine》,2026-07-15 |
| 方法 | 代码切片 + LLM 对聚焦切片的推理,并配合自动化验证 |
| 报告范围 | 300+ 项结果:未授权 RCE、SQL 注入、权限提升、SSRF、降级攻击链 |
| 旗舰案例 | WordPress 插件 Creative Mail(Constant Contact)中的未授权 SQL 注入,30 万+ 安装量;可读取数据库;需安装 WooCommerce;CVE-2026-3985(CVSS 7.5),影响 ≤ 1.6.9,2026 年 5 月披露 |
| 所用模型 | Mythos 级别之前即已可用的前沿模型 |
| 性质 | 基于已公开披露漏洞的进攻性能力演示;此处不复现任何漏洞利用 |
本文综合了截至 2026 年 7 月 15 日厂商及第三方的报道。所述插件的补丁可用情况自 2026 年 5 月披露以来可能已发生变化——在依赖任何缓解措施之前,请在 WordPress 插件仓库核实当前已修复版本。