AISLE 的自动化分析系统在 OpenSSL 项目中成功发现了 12 个安全漏洞,这些漏洞随后在 2026 年 1 月的版本中被修复。这一成就凸显了传统人工代码审查的局限性,因为其中一些漏洞已存在数十年之久。通过与 OpenSSL 团队的紧密合作,这些发现展示了 AI 驱动的自动化工具在主动发现并修复软件缺陷方面的巨大潜力,标志着软件安全正从被动的补丁修复转向主动的防御模式。
发现的漏洞
AISLE 研究团队自 2025 年 8 月起开始使用其自动化分析器在 OpenSSL 中寻找漏洞。所有发现都通过负责任的披露流程报告,并与 OpenSSL 项目协调发布修复。
- CVE-2025-15467 (高危): CMS AuthEnvelopedData 解析中的堆栈缓冲区溢出,特定条件下可能导致远程代码执行。
- CVE-2025-11187 (中危): PKCS#12 中 PBMAC1 参数验证缺失,可能触发基于堆栈的缓冲区溢出。
其他低危漏洞
- CVE-2025-15468: QUIC 协议密码处理时发生崩溃。
- CVE-2025-15469: 影响后量子签名算法 (ML-DSA) 的静默截断错误。
- CVE-2025-66199: 通过 TLS 1.3 证书压缩导致内存耗尽。
- CVE-2025-68160: 行缓冲中的内存损坏(影响可追溯至 OpenSSL 1.0.2 的代码)。
- CVE-2025-69418: OCB 模式在硬件加速路径上的加密缺陷。
- CVE-2025-69419: PKCS#12 字符编码中的内存损坏。
- CVE-2025-69420: 时间戳响应验证时发生崩溃。
- CVE-2025-69421: PKCS#12 解密时发生崩溃。
- CVE-2026-22795: PKCS#12 解析时发生崩溃。
- CVE-2026-22796: PKCS#7 签名验证时发生崩溃(影响可追溯至 OpenSSL 1.0.2 的代码)。
在全部 12 个漏洞中,AISLE 的分析器为其中 5 个推荐了修复方案,并被 OpenSSL 直接采纳。
不仅仅是修复已知漏洞
除了这 12 个已分配编号的漏洞,AISLE 还发现了 6 个其他问题。这些问题在被包含进正式发布版本之前就被检测、报告并修复了。
通过将自动化分析直接集成到开发流程中,安全问题在影响到用户之前就被识别和解决了。我们的目标是 预防漏洞,而不仅仅是在部署后修补它们。
这意味着什么?
OpenSSL 是世界上部署最广泛、经过最严格测试的开源项目之一。在这样一个成熟的代码库中仍然能发现 12 个未知漏洞,其中一些甚至可以追溯到 1998 年,这表明人工审查即使在最成熟的项目中也存在明显的局限性。
- 人工限制: 人类审查员受限于时间、注意力和现代系统庞大的代码量。
- AI 的优势: AI 驱动的自动化分析能够以不同的规模运行。它可以检查人类需要数月才能覆盖的代码路径和边缘情况,并且可以持续不断地运行。
这并不意味着 AI 可以取代人类专家。OpenSSL 维护者深厚的专业知识对于验证发现和开发可靠的修复至关重要。但是,它确实改变了安全响应的标准。当自动化发现与负责任的披露相结合时,整个生态系统的漏洞修复时间被大大缩短。
与 OpenSSL 的合作
从系统标记这些异常开始,AISLE 就将其视为与 OpenSSL 社区的一次合作。他们通过协调的安全报告流程提交了详细的技术报告,包括完整的复现步骤、根本原因分析和具体的补丁建议。
“保证广泛部署的密码学安全需要维护者和研究人员之间的紧密协调。我们感谢 AISLE 的负责任披露以及他们在处理这些问题时的高质量合作。”
— Matt Caswell, OpenSSL 基金会执行董事
OpenSSL 团队的响应非常迅速。在首席技术官 Tomáš Mráz 的领导下,维护人员在每个阶段都积极参与技术讨论:验证发现、完善补丁、协调多个分支的发布,并与下游分发渠道同步。