人工智能在网络安全领域取得里程碑式突破。初创公司 depthfirst 开发的 AI 安全分析系统自主发现了一个潜伏长达 18 年的 NGINX 关键漏洞CVE-2026-42945。该漏洞被评定为严重级别（CVSS 9.2），影响了全球近三分之一的网站，攻击者可借此实现远程代码执行（RCE）。

漏洞核心信息

• 潜伏时长： 自 2008 年引入以来一直未被发现，跨度达 18 年。

• 受影响版本： NGINX 版本从 0.6.27 到 1.30.0。

• 漏洞原理： 存在于 rewrite 模块中，源于脚本引擎的两阶段处理机制缺陷，导致堆缓冲区溢出。

• 修复版本： 官方已发布补丁，建议升级至开源版 1.31.0 或 1.30.1，以及相应的商业版 NGINX Plus。

AI 安全分析的“降维打击”

此次漏洞由旧金山 AI 实验室 depthfirst 发现。该系统的表现令行业瞩目：

• 极高效率： 系统在仅 6 小时的自主扫描中，便识别出包括 CVE-2026-42945 在内的 5 个安全问题（其中 4 个已被官方确认为远程内存损坏漏洞）。

• 深度理解： 与传统工具不同，该 AI 能理解复杂的业务逻辑和跨模块交互，发现了此前连顶尖 AI 安全工具都遗漏的漏洞。

数据显示，全球约有 1900 万个暴露的 NGINX 实例受到该漏洞影响。其中，美国（约 5340 万个受影响实例，含历史累计数据）和中国（约 2540 万个）是暴露程度最高的国家。由于该漏洞的验证代码（PoC）已经公开，安全风险极大。建议所有使用 NGINX 的企业和开发者立即核查配置文件（特别是同时使用 rewrite 和 set 指令的场景），并尽快完成版本更新。