curl 8.21.0 單版本修 18 個 CVE 創歷史|其中一個 25 年沒人發現,大半是 AI 模型挖出來的
一句話總結
curl 8.21.0 一次性修 18 個 CVE,創單版本紀錄。其中 1 個漏洞潛伏 25 年,11 個是 AI 模型直接挖出來的。
curl 8.21.0 單版本修 18 個 CVE 創歷史|其中一個 25 年沒人發現,大半是 AI 模型挖出來的
curl 項目於 6 月 24 日發布 8.21.0,單一版本一次性修復 18 個 CVE——同時打破「單版本最多」與「單一年最多」兩項紀錄。創始人 Daniel Stenberg 在發布博客把這個數字單獨用斜體強調,因為 curl 自 1996 年至今累計披露的安全漏洞才剛過 200。一次發布吃掉接近 9% 的歷史總量。
真正的反差不在數量,在發現者。AISLE 一家公司獨佔 6 個 CVE,另一家未具名 AI 公司報 3 個,Anthropic 與 OpenAI 研究員各報 1 個——18 個裡至少 11 個是 AI 模型直接挖出來的,剩下 7 個來源未明確標註。對照 curl 過去三十年靠 OSS-Fuzz、人工 audit、賞金獵人才挖出 200 個漏洞的節奏,這是 fuzzing 之後安全圈第二次被「換工具」。
最具象徵性的一條是 CVE-2026-8932——mTLS 連接複用時的身份認證繞過,由 AISLE 發現。這個漏洞首次出現於 2001 年 3 月 22 日發布的 curl 7.7,潛伏 25 年,是 curl 歷史上最老的 CVE。25 年裡 curl 經歷過至少 4 輪大規模安全審計,這個 bug 全程在場、全程沒被發現。
利用鏈拆兩個重點:
CVE-2026-8925(SASL 認證 double-free → 認證階段內存破壞 → 觸發 UAF)
CVE-2026-10536(HTTP/2 stream dependencies → UAF → 觸發點在收到惡意服務器 stream 響應時)
CVE-2026-9547(SSH host 校驗繞過)對任何用 libcurl 做 git over SSH / scp 自動化的場景都是高優先級。
為什麼這條要緊:libcurl 是被嵌入次數最多的網絡庫之一,從 Linux 發行版的 yum / apt 後端,到車載娛樂、IoT 固件、智能音箱、Postman 這類用戶級工具,全都在用。Stenberg 自己統計現存設備量級超過 300 億。一次 18 個 CVE,意味著「一次更新覆蓋幾乎所有聯網設備的攻擊面」。
AISLE 的方法論值得寫進備忘錄:模型不可知(model-agnostic)、可離線運行、不依賴 frontier model API。他們的原話:「對於定義明確的安全任務,小模型可以跑贏更貴更大的 LLM。」
行動指令:所有依賴 libcurl 的鏡像 / 容器 / 固件即刻升級到 8.21.0,沒有等下個季度的選項。下半年大概率還會有第二波——AISLE 已經對 OpenSSL、nginx 開始跑同樣的 pipeline。
via Daniel Stenberg Blog / AISLE / SecurityWeek / GBHackers / Cyberpress
curl 項目於 6 月 24 日發布 8.21.0,單一版本一次性修復 18 個 CVE——同時打破「單版本最多」與「單一年最多」兩項紀錄。創始人 Daniel Stenberg 在發布博客把這個數字單獨用斜體強調,因為 curl 自 1996 年至今累計披露的安全漏洞才剛過 200。一次發布吃掉接近 9% 的歷史總量。
真正的反差不在數量,在發現者。AISLE 一家公司獨佔 6 個 CVE,另一家未具名 AI 公司報 3 個,Anthropic 與 OpenAI 研究員各報 1 個——18 個裡至少 11 個是 AI 模型直接挖出來的,剩下 7 個來源未明確標註。對照 curl 過去三十年靠 OSS-Fuzz、人工 audit、賞金獵人才挖出 200 個漏洞的節奏,這是 fuzzing 之後安全圈第二次被「換工具」。
最具象徵性的一條是 CVE-2026-8932——mTLS 連接複用時的身份認證繞過,由 AISLE 發現。這個漏洞首次出現於 2001 年 3 月 22 日發布的 curl 7.7,潛伏 25 年,是 curl 歷史上最老的 CVE。25 年裡 curl 經歷過至少 4 輪大規模安全審計,這個 bug 全程在場、全程沒被發現。
利用鏈拆兩個重點:
CVE-2026-8925(SASL 認證 double-free → 認證階段內存破壞 → 觸發 UAF)
CVE-2026-10536(HTTP/2 stream dependencies → UAF → 觸發點在收到惡意服務器 stream 響應時)
CVE-2026-9547(SSH host 校驗繞過)對任何用 libcurl 做 git over SSH / scp 自動化的場景都是高優先級。
為什麼這條要緊:libcurl 是被嵌入次數最多的網絡庫之一,從 Linux 發行版的 yum / apt 後端,到車載娛樂、IoT 固件、智能音箱、Postman 這類用戶級工具,全都在用。Stenberg 自己統計現存設備量級超過 300 億。一次 18 個 CVE,意味著「一次更新覆蓋幾乎所有聯網設備的攻擊面」。
AISLE 的方法論值得寫進備忘錄:模型不可知(model-agnostic)、可離線運行、不依賴 frontier model API。他們的原話:「對於定義明確的安全任務,小模型可以跑贏更貴更大的 LLM。」
行動指令:所有依賴 libcurl 的鏡像 / 容器 / 固件即刻升級到 8.21.0,沒有等下個季度的選項。下半年大概率還會有第二波——AISLE 已經對 OpenSSL、nginx 開始跑同樣的 pipeline。
via Daniel Stenberg Blog / AISLE / SecurityWeek / GBHackers / Cyberpress
