curl 8.21.0 单版本修 18 个 CVE 创历史|一个漏洞潜伏 25 年,11 个由 AI 模型挖出
一句话总结
curl 8.21.0 一次修 18 个 CVE,刷新单版本纪录;其中 1 个潜伏 25 年,至少 11 个由 AI 模型挖出。
curl 项目 6 月 24 日发布 8.21.0,单一版本修复 18 个 CVE,同时刷新「单版本最多」和「单一年最多」两项纪录。创始人 Daniel Stenberg 在发布博客里指出,curl 自 1996 年累计披露的安全漏洞刚过 200,这次发布一口气吃掉接近 9%。
发现者构成是这次发布的另一条主线。AISLE 一家公司独占 6 个 CVE,另一家未具名 AI 公司报 3 个,Anthropic 和 OpenAI 研究员各报 1 个。18 个里至少 11 个由 AI 模型直接挖出,剩下 7 个来源未标注。curl 过去三十年靠 OSS-Fuzz、人工 audit、赏金猎人挖出约 200 个漏洞,这是 fuzzing 之后安全圈的第二次换工具。
CVE-2026-8932 是 mTLS 连接复用时的身份认证绕过,由 AISLE 发现。漏洞首次出现在 2001 年 3 月 22 日发布的 curl 7.7,潜伏 25 年,是 curl 历史上最老的 CVE。期间 curl 经历至少 4 轮大规模安全审计,bug 全程在场、全程没被发现。
其他三条利用链:
CVE-2026-8925(SASL 认证 double-free → 认证阶段内存破坏 → 触发 UAF)
CVE-2026-10536(HTTP/2 stream dependencies → UAF → 触发点在收到恶意服务器 stream 响应时)
CVE-2026-9547(SSH host 校验绕过)对任何用 libcurl 做 git over SSH / scp 自动化的场景都是高优先级。
libcurl 嵌在 Linux 发行版的 yum / apt 后端、车载娱乐、IoT 固件、智能音箱、Postman 这类用户级工具里,Stenberg 自己统计现存设备量超过 300 亿。一次 18 个 CVE,对应几乎所有联网设备的攻击面更新。
AISLE 在公告里写了方法论:模型不可知(model-agnostic)、可离线运行、不依赖 frontier model API。原话:「对于定义明确的安全任务,小模型可以跑赢更贵更大的 LLM。」
所有依赖 libcurl 的镜像 / 容器 / 固件需立即升级到 8.21.0。AISLE 已经对 OpenSSL、nginx 跑同样的 pipeline,下半年大概率会有第二波。
via Daniel Stenberg Blog / AISLE / SecurityWeek / GBHackers / Cyberpress
发现者构成是这次发布的另一条主线。AISLE 一家公司独占 6 个 CVE,另一家未具名 AI 公司报 3 个,Anthropic 和 OpenAI 研究员各报 1 个。18 个里至少 11 个由 AI 模型直接挖出,剩下 7 个来源未标注。curl 过去三十年靠 OSS-Fuzz、人工 audit、赏金猎人挖出约 200 个漏洞,这是 fuzzing 之后安全圈的第二次换工具。
CVE-2026-8932 是 mTLS 连接复用时的身份认证绕过,由 AISLE 发现。漏洞首次出现在 2001 年 3 月 22 日发布的 curl 7.7,潜伏 25 年,是 curl 历史上最老的 CVE。期间 curl 经历至少 4 轮大规模安全审计,bug 全程在场、全程没被发现。
其他三条利用链:
CVE-2026-8925(SASL 认证 double-free → 认证阶段内存破坏 → 触发 UAF)
CVE-2026-10536(HTTP/2 stream dependencies → UAF → 触发点在收到恶意服务器 stream 响应时)
CVE-2026-9547(SSH host 校验绕过)对任何用 libcurl 做 git over SSH / scp 自动化的场景都是高优先级。
libcurl 嵌在 Linux 发行版的 yum / apt 后端、车载娱乐、IoT 固件、智能音箱、Postman 这类用户级工具里,Stenberg 自己统计现存设备量超过 300 亿。一次 18 个 CVE,对应几乎所有联网设备的攻击面更新。
AISLE 在公告里写了方法论:模型不可知(model-agnostic)、可离线运行、不依赖 frontier model API。原话:「对于定义明确的安全任务,小模型可以跑赢更贵更大的 LLM。」
所有依赖 libcurl 的镜像 / 容器 / 固件需立即升级到 8.21.0。AISLE 已经对 OpenSSL、nginx 跑同样的 pipeline,下半年大概率会有第二波。
via Daniel Stenberg Blog / AISLE / SecurityWeek / GBHackers / Cyberpress
