你的软件正越来越频繁打补丁，因为AI挖漏洞变快了

微软2026年5月的“补丁星期二”修复了至少118个安全漏洞。这是近两年来，微软第一次没有修复任何已被黑客利用的零日漏洞。

但这不是安全形势好转的信号。背后的原因是Anthropic开发的AI项目“Project Glasswing”——微软、苹果等几十家科技巨头都是早期参与者。这个AI擅长在代码里挖漏洞，效果相当不错。

Mozilla的反应最直接。上个月发布的Firefox 150一口气修复了271个漏洞，据说就是在Glasswing评估期间发现的。从那以后，Mozilla把安全更新从常规节奏改为每周发布一次。

Oracle动作更大。最近一次季度更新修复了至少450个漏洞，其中300多个可以远程利用且无需用户认证。4月底，Oracle宣布对关键安全问题改为月度更新——之前是季度更新。

苹果在5月11日修复了至少52个漏洞，回溯支持到了iPhone 6s和iOS 15。旧款iPhone也能收到安全补丁了。Google则在5月8日为Chrome浏览器修复了127个漏洞，而上个月只修了30个。

补丁数量大幅上升，但不等于威胁降低。微软本月修复的16个“严重”漏洞，无需用户交互就能远程控制设备。比如Windows Netlogon的缓冲区溢出漏洞（CVE-2026-41089），攻击者可借此直接获得域控制器系统权限；Windows DNS客户端漏洞（CVE-2026-41096）同样危险；还有权限提升漏洞（CVE-2026-41103），允许伪造凭证绕过Entra ID。这些漏洞虽然未被大规模利用，但攻击门槛低，用户应尽快安装更新。

对普通用户来说，变化很直接：需要更频繁地重启设备。Chrome会自动下载安全更新，但只有完全重启浏览器后补丁才生效。苹果用户即使使用旧款iPhone，也建议手动检查更新。Oracle的月度更新面向企业用户，使用相关数据库和软件的机构需要调整部署节奏。

目前还不清楚Project Glasswing是否已对外开放，其他安全公司能否自行接入。AI发现的漏洞中有多少是此前完全未知的，也没有公开数据。补丁数量激增可能带来一个问题：用户是否会产生“更新疲劳”，反过来降低安装率。这轮补丁潮表明，AI已实质性地改变了安全行业的节奏——漏洞发现的速度正在超过过去任何一个时期。