AISLE的自动化分析工具发现了OpenSSL在2026年1月发布的全部12个安全漏洞，这些漏洞有些已存在数十年未被发现。OpenSSL作为全球广泛使用的加密库，其漏洞发现极为困难，此次全部漏洞均由AISLE自主发现并获得官方认可，标志着自动化安全系统的重大突破。OpenSSL基金会CTO高度评价了AISLE的研究贡献和协作质量。

标题：AISLE发现OpenSSL全部12个安全漏洞

核心内容： 1. 重大突破 - AISLE自主分析系统在2026年1月OpenSSL版本更新中，发现了全部12个CVE漏洞 - 部分漏洞已潜伏数十年（最早可追溯至1998年），未被全球数千名安全研究人员发现 - OpenSSL基金会CTO Tomáš Mráz高度评价AISLE的研究质量与合作精神

2. 漏洞详情 【高危漏洞】

• CVE-2025-15467：CMS加密数据解析中的栈缓冲区溢出（可能导致远程代码执行）
• CVE-2025-11187：PKCS#12中PBMAC1参数验证缺失（可触发栈缓冲区溢出）

【中低危漏洞】 包含10个涉及QUIC协议、后量子签名算法、TLS证书压缩等领域的漏洞，其中： - 2个漏洞影响OpenSSL 1.0.2等历史版本 - 5个漏洞的修复方案直接被OpenSSL采用

3. 超越漏洞发现

• 提前拦截6个未发布漏洞，通过开发流程整合实现"防患于未然"
• 采用"自主分析+责任披露"模式，平均修复时间缩短83%

4. 行业意义

• 证明即使经过严格审计的成熟代码库（OpenSSL支撑全球70%安全通信）仍存在盲区
• AI分析可覆盖人类需要数月才能完成的代码路径检查
• 开创"主动防御"新范式，改变传统补丁式安全模式

5. 合作机制

• 与OpenSSL团队建立全流程协作： • 提交含完整复现步骤的技术报告 • 提供根因分析和具体补丁建议 • 跨分支版本协调修复
• 获OpenSSL执行董事Matt Caswell公开致谢

延伸阅读： - Q3 2025漏洞技术分析报告 - OpenSSL安全公告库

（注：原文中具体漏洞编号列表、个别技术细节及致谢人员名单等次要信息已精简，保留核心事实与关键数据）

以下是评论内容的总结：

正面评价

1. AI辅助安全检测的有效性

   • 多位评论者认为AI在发现安全漏洞方面表现出色，特别是与人类专家结合使用时（评论1,5,6,16）。
   • 引用：
     "We submitted detailed technical reports... our proposed fixes either informed or were directly adopted by the OpenSSL team."（评论1）
     "Pretty impressive. Whether you think AI is a bubble or not, we all benefit from these findings."（评论5）

2. 对OpenSSL团队的认可

   • 评论者赞赏OpenSSL团队通过协调的安全报告流程处理漏洞的严谨态度（评论1）。
   • 引用：
     "This sounds like a great approach. Kudos!"（评论1）

质疑与担忧

1. OpenSSL代码质量

   • 多位评论者批评OpenSSL代码难以阅读和维护，认为其历史遗留问题严重（评论4,15,17）。
   • 引用：
     "the code is simply beyond horrible to read, not to mention diabolically bad"（评论4）
     "OpenSSL is a very odd codebase, it's grown by accretion, under many stewards..."（评论15）

2. AI工具的局限性

   • 部分评论者指出AI无法完全替代人类，且可能产生误报（评论8,11,16）。
   • 引用：
     "Without Humans, AI does nothing. Currently, at least."（评论8）
     "How many false positives did the AI throw up?"（评论11）

3. 安全漏洞修复的挑战

   • 评论者担忧漏洞修复的时效性和废弃软件的维护问题（评论7,14）。
   • 引用：
     "2 is a killer. There's so much abandonware out there... These can't ever really be patched."（评论7）
     "Should people be getting on board with other protections such as security keys?"（评论14）

其他观点

1. 替代方案建议

   • 有评论者推荐使用BoringSSL等更现代的替代品（评论10）。
   • 引用：
     "Better software is out there."（评论10）

2. 技术细节探讨

   • 部分评论者关注具体漏洞的防护措施（如Fil-C）和AI的工作流程（评论9,18）。
   • 引用：
     "Fil-C prevents that one... Fil-C won’t prevent denial of service"（评论9）

3. 标题争议

   • 有评论者认为标题从“AISLE”改为“AI”存在误导性（评论16）。
   • 引用：
     "The title change from 'AISLE' to 'AI' is misleading."（评论16）

总结：评论普遍认可AI在安全领域的潜力，但也对其局限性、OpenSSL的代码质量以及漏洞修复的实践挑战提出了质疑。部分用户建议采用替代方案或加强其他安全措施。