2026年5月补丁星期二：AI平台在漏洞挖掘方面表现出色Patch Tuesday, May 2026 Edition

人工智能平台可能和人类一样容易受到社会工程攻击，但它们却展现出惊人的能力，能够发现人为编写的计算机代码中的安全漏洞。本月，随着苹果、谷歌、微软、Mozilla 和甲骨文等主流软件厂商纷纷修复创纪录数量的安全漏洞，或加快补丁发布节奏，这一现实得到了充分印证。

一如往常，微软今天发布了软件更新，修复了旗下各类 Windows 操作系统及其他产品中至少 118 个安全漏洞。值得注意的是，这是近两年前以来首次无需紧急处理已被利用的零日漏洞。本次修复的所有漏洞也均未提前公开披露（这意味着攻击者无法提前获知如何加以利用）。

其中 16 个漏洞被微软标记为最严重的“高危”级别，意味着恶意软件或恶意行为者可在几乎无需用户协助的情况下，远程操控存在漏洞的 Windows 设备。Rapid7 在本月识别出多个令人担忧的高危弱点，其中包括：

相较于上月微软修复了创纪录的近 167 个安全漏洞，本月 Patch Tuesday 可谓一次受欢迎的喘息之机。微软是少数几家获得“Project Glasswing”项目访问权限的科技巨头之一——该项目由 Anthropic 开发的一款备受瞩目的 AI 能力，在代码中挖掘安全漏洞方面表现相当出色。

Ivanti 产品管理副总裁 Chris Goettl 表示，苹果作为 Project Glasswing 的早期参与者，通常在为 iOS 设备发布安全更新时平均修复约 20 个漏洞。5 月 11 日，苹果发布了更新，修复了至少 52 个漏洞，并将这些修复全部回移植至 iPhone 6s 和 iOS 15。

上个月，Mozilla 发布了 Firefox 150，修复了据称是在 Glasswing 评估过程中发现的整整 271 个漏洞。

Goettl 表示：“自 Firefox 150.0.0 发布以来，Mozilla 已将安全更新频率提升至每周发布，包括 5 月 Patch Tuesday 发布的 Firefox 150.0.3，每次更新均修复了三个到五个 CVE。”

软件巨头甲骨文近期也因与 Glasswing 的合作而加快了补丁发布节奏。在其最近一次季度补丁更新中，甲骨文修复了至少 450 个漏洞，其中包括超过 300 个可被远程未授权利用的漏洞。但到了 4 月底，甲骨文宣布将对关键安全问题采用每月更新机制。

5月8日，谷歌开始向 Chrome 浏览器推送更新，修复了多达127个安全漏洞（相比上个月的30个大幅增加）。Chrome 会自动下载可用的安全更新，但安装这些更新需要完全重启浏览器。

如果你在应用微软或其他提及厂商的更新时遇到任何异常情况，欢迎在下方评论区留言反馈。同时，如果你最近没有备份数据或驱动器，那么在更新前进行备份通常是明智的做法。如需更详细地了解今天微软发布的更新内容，可参考 SANS 互联网风暴中心提供的清单。