近日,据外媒报道,全球知名应用交付与应用安全厂商F5发布安全公告,披露了NGINX软件的一处漏洞。公告致谢名单中,首次出现中国AI Agent产品及团队的身影——来自中国的开源AI Agent产品AiPy及其团队成员Hcamael,因助力漏洞挖掘工作获得官方致谢。这一细节被外媒重点关注,也成为中国AI技术切入全球底层基础软件安全研究领域的又一实证。

据F5安全公告K000161131显示,此次披露的漏洞为NGINX ngx_http_proxy_v2_module相关漏洞CVE-2026-42926。在特定配置下,当NGINXOpenSource代理HTTP/2流量时,攻击者可能向上游连接注入HTTP/2帧头和负载字节,导致NGINX与上游HTTP/2对等端之间出现通信不同步问题。F5将该漏洞评定为中危,影响NGINX Open Source 1.29.4至1.30.0等相关版本。

不同于普通应用漏洞,此次漏洞聚焦NGINX这一全球核心基础软件,且挖掘工作并非依靠传统单一安全工具,而是依托国产AI Agent完成核心研究辅助工作,这也是此次事件引发行业关注的核心原因。公开信息显示,业内俗称“章鱼哥”的AiPy,全程助力研究人员完成该HTTP/2代理注入漏洞的挖掘与验证工作,并因此获得F5官方公开致谢。

NGINX广泛支撑互联网业务,安全风险牵动全球生态

作为全球互联网领域普及率最高的网页服务与反向代理核心软件,NGINX早已深度融入全球数字基础设施体系。

依托权威行业统计数据来看,目前全球超三成网站依托NGINX搭建运行,海量云服务平台、政企业务系统、流量网关均以其为核心支撑,覆盖站点规模数以亿计。即便该漏洞存在触发条件限制,并非所有部署环境都会中招,但依托NGINX庞大的应用体量,此次漏洞披露依旧牵动全球政企用户、云服务商以及全网安全从业者的高度警惕。

区别于普通易探测漏洞,此次曝光的HTTP/2代理注入漏洞技术门槛颇高,牵扯网络协议底层运行机制、流量代理转发逻辑、上下游数据交互规则等多重专业内容,依靠常规漏洞扫描手段根本无法实现排查挖掘,对安全研究人员的专业功底、协议认知与实战验证能力都有着极高要求。

而国产AI Agent AiPy能够全程深度参与并助力完成漏洞发掘工作,直观印证国产AI智能体的应用能力,早已跳出日常文案创作、办公辅助等通用场景,已迈入高门槛、重实操的底层基础软件安全研究核心赛道。

不只是通用场景,中国AI进入更高门槛技术现场

公开资料显示,AiPy由中国企业知道创宇2025年4月自主研发推出,是国内较早落地应用的开源AI Agent产品,依托大语言模型搭配成熟Python技术生态打造而成,能够将自然语言任务转化为可执行流程,具备任务理解、工具调用、本地执行和结果交付能力。

与传统问答式AI不同,AI Agent更强调“理解任务之后完成任务”。在漏洞研究过程中,研究人员往往需要反复完成环境搭建、资产研判、协议分析、payload调试、结果验证、日志比对等工作。这些环节既依赖专业判断,也包含大量重复性、结构化和工具化操作。

AiPy的价值,正在于把AI的理解能力与本地执行能力结合起来,可联动各类专业工具,自动化完成资产研判、脚本执行、情报关联、数据复盘等基础工作,有效简化漏洞研究中的繁琐流程,提升安全研究的整体效率。此次获得F5官方致谢,意味着这款国产AI Agent的实战能力,在全球顶级的基础软件安全研究场景中得到了真实验证。

中国AI技术稳步进阶 深度参与全球技术共建

此次AiPy助力发现NGINX漏洞,绝非偶然,而是中国AI技术深耕专业领域的缩影。近年来,中国AI企业已从内容生成、办公辅助等通用场景,加速向软件供应链安全、代码审计、协议安全分析等底层核心领域渗透。

作为一家全栈的安全的AI公司,知道创宇长期布局云防御、安全大数据与AI技术创新等,此次AiPy的突破,正是长期技术积累的集中体现。业内专家表示,基础软件安全是全球数字安全的核心技术,中国AI Agent获得国际厂商认可,客观反映出中国AI安全技术的成熟度与场景适配能力持续提升,国内技术力量正逐步深度融入全球数字基础设施技术生态。

值得注意的是,漏洞治理的核心是全球协作。此次F5主动致谢中国AI团队,彰显了开放共享的安全理念。未来,随着AiPy等中国AI工具持续赋能全球安全研究,中国将在数字基础设施技术研究领域,贡献更多中国方案与中国智慧,为全球互联网安全稳定筑牢防线,提供务实的技术支撑与中国实践经验。