全球首次!中国AI智能体AiPy发现NGINX漏洞获国际厂商公开致谢

来源：网络发布时间：2026-05-29 09:01:33 阅读量：27

近日,据外媒报道,全球应用交付与应用安全厂商F5发布安全公告,披露NGINX软件一处安全漏洞。此次漏洞由研究人员使用中国开源AI智能体(Agent) AiPy挖掘并提交,AiPy也因此出现在F5官方致谢名单中。

这是国内AI Agent产品首次被运用于全球主流底层基础软件漏洞挖掘场景,并获得国际厂商官方公开致谢认可,展现出中国AI技术在专业门槛更高、工程实践更重、技术验证更复杂的安全研究领域的实际应用能力。

根据F5安全公告K000161131内容,本次披露漏洞编号为CVE-2026-42926,存在于NGINX的ngx_http_proxy_v2_module模块。公告显示,在特定配置环境下,NGINX开源版本代理HTTP/2流量过程中,攻击者可向上游连接注入相关帧头与负载字节,造成NGINX与上游HTTP/2对等端通信不同步。该漏洞被评定为中危漏洞,影响NGINX Open Source 1.29.4至1.30.0等迭代版本。

作为全球通用度较高的网页服务与反向代理基础软件,NGINX广泛应用于全球数字基础设施。据行业统计数据,全球超三成网站基于NGINX搭建,各类云服务平台、政企业务系统、网络流量网关普遍采用该软件支撑业务运行,全网覆盖站点规模庞大。鉴于其广泛的落地场景,该漏洞披露后,已受到全球云服务商、政企用户及网络安全行业从业者的普遍关注。

据业内技术分析,此次CVE-2026-42926漏洞技术特征较为特殊,涉及网络协议底层运行机制、流量代理转发逻辑、上下游数据交互规则等专业内容,探测与挖掘门槛较高,常规自动化漏洞扫描工具难以有效识别,对安全研究的专业性、精细化程度要求较高。本次漏洞的挖掘与验证工作,依托国产开源AI Agent产品AiPy完成核心工作。

公开资料显示,AiPy于2025年4月由国内企业知道创宇推出,是国内落地应用较早的开源AI Agent产品。该产品基于大语言模型结合Python技术生态搭建,可将自然语言任务转化为可落地的执行流程,具备任务理解、多类工具调用、本地执行、结果复盘核验等完整能力。相较于传统问答式AI产品,AI 智能体更侧重任务的全流程落地执行。

在漏洞研究场景中,环境搭建、资产研判、协议分析、载荷调试、结果验证、日志比对等工作,包含大量重复性、结构化操作。AiPy可联动各类专业安全工具,自动化完成基础性研究工作,优化漏洞研究流程,提升研判与验证效率。此次获得F5官方致谢,验证了该国产AI Agent产品在底层基础软件安全研究场景中的实战适配能力。

从行业发展态势来看,国内AI技术应用场景正持续拓展,从通用大众场景向代码审计、软件供应链安全、底层协议分析等专业技术场景延伸。此次国产AI Agent被运用于国际主流基础软件漏洞挖掘工作,是中国AI技术深耕网络安全细分领域的具体实践。

业内人士表示,基础软件安全是数字安全体系的核心基石,也是技术实力的重要试金石。此次成果,直观展现出我国AI技术发展的前景与实力。随着国内AI技术不断迭代精进,相关产品与解决方案将持续强化核心技术自主能力,为筑牢数字安全屏障、守护关键信息基础设施安全提供坚实支撑。

免责声明：该文章系本站转载，旨在为读者提供更多信息资讯。所涉内容不构成投资、消费建议，仅供读者参考。如因作品内容、版权和其他问题需要同本网联系的，请在30日内进行!