据 The Verge 报道,在安全研究人员报告漏洞后,GitHub 工程师在不到六小时内便成功修复了一个重大的远程代码执行(RCE)漏洞。
该漏洞编号为 CVE-2026-3854,由 Wiz Research 通过 AI 模型发现。该漏洞存在于 GitHub 的内部 Git 基础设施中,会对数百万个公开及私有代码仓库构成威胁。
GitHub 首席信息安全官 Alexis Wales 表示,公司的安全团队在收到漏洞赏金报告后立即开始了验证工作。Wales 说:“在 4 0 分钟内,我们就已经在内部复现了该漏洞,并确认了其严重性。”
报告显示,GitHub 工程团队在确定根本原因后,仅用一个多小时就为 GitHub.com 和 GitHub Enterprise Server 开发并部署了修复程序。Wales 证实,在两小时内,公司完成了漏洞验证、修复部署以及取证调查,调查结果显示目前没有发现该漏洞被利用的证据。
AI 驱动的漏洞发现
Wiz Research 利用 AI 模型识别出该漏洞,这标志着安全研究方法论的一次显著转变。Wiz 的安全研究员 Sagi Tzadik 指出,这是利用 AI 在闭源二进制文件中发现重大漏洞的首批案例之一。
尽管补丁部署迅速,但 Wiz 的研究人员警告称,尽管 GitHub 的系统非常复杂,但该漏洞的利用难度极低。此次发现也获得了该公司漏洞赏金计划中最高级别的奖励之一。
此次安全事件发生之际,GitHub 的服务也正经历一段不稳定期。据 The Verge 报道,GitHub 最近发生了一次重大故障,导致此前已合并的提交(commits)被随机回滚,此外近期还出现了其他服务中断。部分员工已对公司的可靠性及领导层的稳定性表示担忧。
