Microsoft has released software updates to plug at least 570 security holes
206 points • 2 days agoArticle Link

Microsoft 发布了大规模软件更新,修复了其 Windows 生态系统及其他产品中创纪录的 570 个安全漏洞。该数字几乎是上个月的三倍,微软将增长归因于在漏洞发现流程中引入了人工智能。其中近 60 个漏洞被评为关键级别,攻击者在极少用户交互的情况下即可远程控制设备。

此次更新还修补了三个零日漏洞,其中两个已在野外被利用。值得关注的问题包括 Active Directory Federation Services 中的权限提升漏洞和 Microsoft SharePoint 中的另一个漏洞。此外,Windows BitLocker 中的一个漏洞可能允许拥有物理访问权限的攻击者绕过安全保护并访问加密数据。

专家指出,人工智能在加速漏洞发现与修复的同时,也让攻击者更快地开发利用手段,这使得以人为中心的指标(例如 Microsoft 的 exploitability index)可能不再能充分反映实际威胁程度。研究显示,AI 模型能够为先前被认为不太可能被武器化的漏洞生成概念验证型利用代码。

整个软件行业也在经历类似变化,厂商难以适应越来越频繁的安全公告节奏。例如,Adobe 已改为每月两次发布更新,其他大型科技公司也在更频繁地推送补丁。这一转变凸显了软件维护方式的系统性变化,公司正努力适应 AI 驱动漏洞检测带来的快速节奏。

鉴于本次补丁数量庞大,安全专家建议用户谨慎操作。尽管更新对长期安全至关重要,但如此大规模的变更偶尔会引发系统稳定性问题。建议用户先备份数据,并可考虑等待几天再在关键系统上应用更新,以观察是否出现意外问题。

120 comments • Comments Link

• Microsoft 的反馈机制普遍被认为效率低下,导致人们怀疑用户报告是否真的会被公司阅读或采取行动。

• 在某些组织中,用户提交的 bug 报告确实可能被采纳:这一点可以从那些最终实现了用户所需功能的利基产品中看出,但这仍是例外而非常态。

• AI 已被证明能发现长期存在、甚至延续数十年的安全漏洞,但关于这是真正的改进,还是可能带来与解决漏洞数量相当的新"vibe-coding"趋势,仍存在争议。

• 现代软件中大量漏洞往往反映的是极端复杂性和对开源项目的深度依赖,而不仅仅是近期编码失误的结果。

• 当前漏洞报告的激增在很大程度上受 Microsoft 从其继承的开源依赖(例如在其 Linux distributions 中发现的那些)中汇总补丁的影响,而不仅仅是内部代码的问题。

• 庞大且历经数十年的代码库使得大规模软件生态系统天生易出现安全缺陷,因此无论使用何种开发工具,追求"完美"安全都是不切实际的。

• 自动补丁工作流虽必要,但也形成了一个递归循环:为保障复杂系统安全而采取的措施可能引入新的回归风险,IT 管理员常把这种体验戏称为"choose-your-own-adventure"式。

• 各类 Microsoft 产品(如 Office 和 Visual Studio)之间更新机制的碎片化,使维护变得复杂,与统一包管理相比导致了割裂的用户体验。

• 有人怀疑是否在将 AI 辅助的安全报告武器化为一种营销叙事,用以为在软件开发中增加 AI 使用寻找合理性。

• 像 Chromium 这样的大型项目依赖"move fast and break things"的开发文化,不可避免地带来较高的 CVE 计数,这突显了快速功能迭代与维护复杂、经受考验的软件之间的权衡。

这场讨论反映了人们对软件质量逐渐下降和大型企业反馈渠道不透明的深层沮丧。尽管技术圈普遍承认 AI 工具能识别出曾逃过人工审查的遗留漏洞,但这种进展也伴随着担忧:行业可能过度依赖优先考虑速度而非稳定性的自动化流程。许多人把不断增加的漏洞数量视为软件复杂性不可避免增长的表现,但同时仍在呼吁更具凝聚力、透明且以用户为中心的更新管理。最终,参与者们对这些 AI 驱动的安全收益究竟是对软件寿命的净增益,还是掩盖了现代开发实践中更深层次的结构性失败,仍存在分歧。