AI自主发现潜伏18年NGINX高危漏洞 全球近三分之一网站受影响

2026年5月，旧金山AI初创公司depthfirst开发的AI安全分析系统，自主发现潜伏18年的NGINX高危漏洞CVE-2026-42945。该漏洞CVSS评分为9.2，属于严重级别，影响2008年以来发布的NGINX 0.6.27至1.30.0版本，波及全球近三分之一网站，攻击者可利用漏洞实现远程代码执行，目前NGINX官方已发布对应修复补丁。

作为全球应用最广的开源Web服务器软件之一，NGINX长期占据服务器市场30%以上的份额，国内大量互联网企业、政企站点也均有部署。此次曝出的CVE-2026-42945漏洞最早在2008年被引入代码库，直到18年后才被AI系统发现，其CVSS 9.2严重级的评分也印证了风险等级之高。

漏洞存在于NGINX核心的rewrite模块中，源于脚本引擎的两阶段处理机制缺陷，会引发堆缓冲区溢出，攻击者只需构造特定的请求包，即可触发漏洞实现远程代码执行（RCE），直接获得站点服务器的控制权限。目前NGINX官方已经推送紧急补丁，受影响用户可升级至开源版1.31.0、1.30.1或对应商业版NGINX Plus完成修复。

传统的开源组件漏洞挖掘长期依赖人工代码审计、规则化扫描工具，针对这类隐藏在逻辑链路深处的老旧漏洞，检出率极低——此前包括Log4j、OpenSSL等核心组件的高危漏洞，都曾在代码库中潜伏数年甚至十余年才被发现。