重點摘要:
- 微軟正打造一款以Anthropic的Mythos為模型的AI工具,用於偵測並修復軟體漏洞
- 7月的Patch Tuesday修補了破紀錄的622個漏洞,AI被認為是發現數量激增的原因
- 該工具採用多個AI模型,自動完成安全缺陷的偵測與修復
重點摘要:

微軟正在開發一款以Anthropic的Mythos為模型的AI驅動漏洞偵測與修復工具,這標誌著其在網路安全大規模自動化布局的下一階段。
據知情人士透露,這家軟體巨頭正準備推出一款新產品,該產品使用多個AI模型自動掃描軟體缺陷,並生成相應的安全修復方案。該工具借鑒了Anthropic的Mythos模型,業界認為該模型推動了漏洞發現數量的激增。
趨勢科技Zero Day Initiative威脅意識主管Dustin Childs表示:「這是MDASH展示AI大規模應用能力之後的合理下一步。」他指的是微軟內部AI掃描器在5月的Patch Tuesday中自行發現了16個漏洞。「問題在於自動化修復能否跟上自動化發現的速度。」
這項開發之際,微軟正推出其史上最大規模的安全更新。根據微軟的統計,7月的Patch Tuesday修補了622個漏洞,是6月紀錄206個的三倍以上。其中58個漏洞被評為重大級,3個為零日漏洞——攻擊者已在野外利用其中兩個。另外,Edge瀏覽器中還修補了428個Chromium漏洞。
此次更新的規模已使習慣按嚴重性評分進行分類的企業安全團隊不堪重負。兩個已被利用的零日漏洞——Active Directory Federation Services中的CVE-2026-56155和SharePoint Server中的CVE-2026-56164——均被評為中等嚴重性,這動搖了許多組織仍依賴的傳統CVSS優先級模型。
AI在漏洞發現中的雙刃劍角色
微軟的Pavan Davuluri上週警告客戶,隨著AI工具加速漏洞獵捕,應預期「更高數量的安全更新」。月度漏洞數量已從3月的79個攀升至6月的206個,再到7月的622個,這一軌跡與業界AI輔助漏洞研究的普及趨勢一致。
Anthropic的Mythos模型是主要驅動力之一。OpenAI也單獨展示了GPT-Red,這是一個內部AI代理,用於在其自身模型中搜尋缺陷。這一趨勢正迫使供應商和安全團隊重新評估資源配置。
然而,幫助防守方的工具同樣也助益攻擊者。一旦修補程式發布,攻擊者即可將更新後的代碼與先前版本進行比較,識別出已修補的漏洞,並在數小時內構建出可利用的攻擊程式。傳統上將修補程式推遲一週以測試相容性的做法已變得難以維持。
波折的更新推出考驗企業準備度
7月的更新並非一帆風順。微軟暫停了對部分配備英特爾晶片的Dell設備的更新推送,此前有用戶報告出現突然關機、過熱和電池耗電等問題。預計數天內將發布修復方案。
對安全團隊而言,此事件凸顯了一個更廣泛的挑戰:更大的更新增加了測試工作量以及相容性問題的風險,然而從漏洞披露到被利用之間的時間窗口正在縮短,這要求更快的部署速度。微軟已建議組織將Windows更新延遲期縮短至三天。
微軟股價目前約為預期本益比的33倍,今年以來已上漲18%,原因是該公司在AI領域的投資推動了Azure、Copilot及安全產品的營收成長。這款新的漏洞偵測工具若成功,可望進一步強化微軟的安全產品組合——該業務年營收超過200億美元——同時對Tenable、Qualys和Rapid7等競爭對手的漏洞管理平台施加更大壓力。
本文僅供資訊參考,不構成投資建議。