openssl-library.org
OpenSSL專案日前發布資安公告,修補18項漏洞,值得注意的是,其中1項高風險漏洞CVE-2026-45447,是研究人員在Anthropic的Claude AI協助下發現,顯示AI已成為漏洞研究與程式碼分析的重要工具,此外,Anthropic公司人員也參與另外7項漏洞的發現與通報。
這次OpenSSL修補的漏洞中,最受矚目的便是前面提到的CVE-2026-45447,是研究人員透過Claude AI與Anthropic Research的合作發現,CVSS嚴重性評分達8.8分,存在於PKCS#7簽章驗證流程,可能導致記憶體已釋放卻仍被使用(UAF)問題,在特定情況下甚至可能導致遠端程式碼執行。OpenSSL的1.0.2、1.1.1、3.0.0、3.4.0、3.5.0、3.6.0與4.0.0等版本分支都受此漏洞影響,已於1.0.2zq、1.1.1zh、3.0.21、3.4.6、3.5.7、3.6.3與4.0.1等版本完成修補。由於OpenSSL是HTTPS及眾多系統的重要基礎元件,使用相關版本的用戶應儘速更新,以降低遭受攻擊風險。
Anthropic公司不僅協助發現CVE-2026-45447,也參與CVE-2026-34181、CVE-2026-34182等兩項漏洞的發現與通報,並獨立通報另外5項漏洞,包括CVE-2026-42768、CVE-2026-42769、CVE-2026-42770、CVE-2026-45445、CVE-2026-45446。除了發現與通報漏洞之外,依據OpenSSL的公告,Anthropic研究人員還參與CVE-2026-42769、CVE-2026-42770等兩項漏洞的修補方案。也就是說,這次OpenSSL修補的18項漏洞,其中8項都有Anthropic公司的投入。
