「570 个漏洞:微软七月补丁日创下历史纪录」

「570 个漏洞:微软七月补丁日创下历史纪录」

微软Patch Tuesday安全漏洞零日漏洞漏洞管理AzureCVE

数据源:HN + Lobsters

2026 年 7 月的第二个星期二,微软例行发布了月度安全更新。与往常不同的是,这次补丁包修复的漏洞数量达到了约 570 个,包括近 60 个「关键」级别漏洞和 3 个零日漏洞。作为对照,2025 年 7 月的同月修复量是 137 个,2026 年 6 月是 200 个。单月同比增长 316%,仅 2026 年前七个月的漏洞修复总量(1308 个)就已超过 2025 年全年。

这个数字意味着什么?是 Patch Tuesday 的捆绑发布效应——将积累数月的漏洞集中在一次发布中——还是 Windows 软件栈的漏洞密度确实在快速攀升?翻阅微软官方声明和多位安全研究者的分析之后,答案倾向于后者:漏洞发现的速度确实在加快,而驱动这一变化的关键变量是人工智能。

AI 挖洞:发现越多,暴露越深

7 月 9 日,微软执行副总裁 Pavan Davuluri 在一篇博客中提前打了预防针。他写道,Windows 用户会注意到未来每个安全更新中「包含更高数量的漏洞修复」,原因是 AI 正在帮助微软在更多代码中更快地发现问题。微软部署了一套自研的多模型 agent 扫描系统来遍历 Windows 代码库,Davuluri 将其描述为「加速发现和分析的新机制」。

这套系统的效果在数字上体现得很直接。2026 年逐月同比增长数据如下:

月份2025 年修复量2026 年修复量同比变化
1 月159114-28.3%
2 月5558+5.5%
3 月5779+38.6%
4 月134167+24.6%
5 月72120+66.7%
6 月66200+203%
7 月137570+316%

上半年累计同比增幅 92.4%,但趋势在 6 月之后出现了明显的加速度。这个拐点与微软首次公开披露其 AI 漏洞扫描系统的时间线大致吻合。

但漏洞数量的攀升还有另一面。安全研究者 Satnam Narang(Tenable 高级研究员)指出了一个不对称的问题:AI 不仅帮助微软更快地发现漏洞,也在帮助攻击者更快地为已知漏洞制造利用工具。Narang 引用了 Anthropic 红队的测试结果:其 Mythos Preview 模型能够为 14 个被微软标记为「利用可能性较低」或「不太可能被利用」的漏洞中的 13 个生成可工作的概念验证利用代码。

这是一个值得关注的信号。微软的「可利用性指数」(exploitability index)一直是企业决定补丁优先级的重要参考,但它的设计前提是人类攻击者的分析速度。当 AI 驱动的漏洞分析和利用生成以机器速度运行后,这个指数的参考价值正在被稀释。Narang 直言:「我们看待 Patch Tuesday 的方式已经变了,因为可利用性指数是以人为中心设计的,不是以 AI 工具为中心设计的。」

三个零日,两种在野

本月修补的三个零日漏洞中,有两个已被确认在野利用:

CVE-2026-56155 —— Active Directory Federation Services(AD FS)权限提升漏洞。AD FS 是微软的联合身份认证和单点登录基础设施,在混合 Azure AD/本地环境中扮演信任中枢角色。该漏洞被标记为「重要」级别且已处于活跃利用状态。如果攻击者通过此漏洞提升权限,可以横向移动到更广泛的身份基础设施。这与过去几年中针对 AD FS 的 Golden SAML 攻击模式有相似之处。

CVE-2026-56164 —— SharePoint Server 权限提升漏洞。虽然微软将其严重性标为「中等」,但已确认在野利用。安全社区建议不要因为「中等」标签而降低修补优先级——SharePoint 的提权漏洞在历史上经常与远程代码执行漏洞链式使用,以实现服务器完全接管。

CVE-2026-50661 —— Windows BitLocker 安全功能绕过漏洞。该漏洞在补丁发布前已被公开披露,但目前未确认在野利用。它延续了 2026 年初「YellowKey」(CVE-2026-45585)BitLocker 绕过漏洞的模式:攻击者不需要破解加密算法本身,而是针对 BitLocker 恢复环境中的逻辑缺陷,在有物理接触的前提下绕过磁盘加密。对于依赖 BitLocker 保护失窃设备数据的组织来说,这仍然是一个需要认真对待的风险。

漏洞图谱:提权和 RCE 占据主体

从漏洞类型分布来看,本月的 570 个漏洞构成如下:

  • 权限提升(EoP):约 249 个——占比最高,接近 44%
  • 远程代码执行(RCE):约 143 个——占 25%
  • 其余为信息泄露、拒绝服务、欺骗和安全功能绕过

约 250 个提权漏洞中,有一个引起了特别关注。Jack Bicer(Action1 漏洞研究总监)强调了 CVE-2026-48561——Microsoft Copilot 中的远程代码执行漏洞,CVSS 评分高达 9.6。该漏洞的利用路径比较特殊:攻击者托管一个恶意网站,当用户通过 Android 版 Microsoft Edge 访问该网站时,浏览器会自动向 Copilot 发送构造好的提示,从而实现未授权的远程代码执行。这是 AI 产品本身成为攻击面的一个实例——Copilot 集成了网络搜索和内容获取能力,这恰好构成了一条新的攻击链路。

此外,本月还有两个获得「关键」评级的漏洞:SharePoint 和 Print Spooler 的远程代码执行问题。Print Spooler 作为一个长期存在的攻击面再次出现,对使用域控制器的企业环境构成较高风险。Windows 内核、Win32k、NTFS、远程桌面、DHCP、TCP/IP、Hyper-V、Secure Boot、SMB 等几乎所有核心组件都涉及了此次更新。

不只是微软一家的事

Ivanti 的 Chris Goettl 观察到,微软的补丁数量激增并非孤立现象。Adobe 在同日宣布将从每月一次安全公告改为每月两次(每月第 2 和第 4 个星期二),同样援引 AI 加速了补丁周期。Cisco、Mozilla 和 Oracle 也在提高更新频率。Google 在 2026 年 6 月发布的补丁总量超过 900 个。Goettl 的判断是:「我们正处在一个补丁数量和更新频次整体上升的转折点上。」

这对企业的补丁管理策略提出了新的挑战。过去的安全操作惯例——每月评估一次 Patch Tuesday、按可利用性指数排优先级、分批部署——在面对每月数百个漏洞和 AI 驱动的利用开发速度时,可能已经不太够用。Tenable 的 Narang 建议,企业需要重新思考补丁优先级框架,将 AI 辅助攻击的现实纳入威胁建模。

要不要现在就打补丁?

Krebs on Security 给出的建议很务实:考虑到 570 个补丁的量级,普通用户不妨等几天再安装。安全补丁引入系统稳定性问题并不罕见,而在如此巨大的补丁体量下,出问题的概率确实更高。备份数据和系统始终是安装更新前的明智做法。

对于企业 IT 团队来说,优先级排序比盲目全量部署更关键。两个在野利用的零日(CVE-2026-56155 和 CVE-2026-56164)和两个关键级 RCE(SharePoint 和 Print Spooler)应该放在队列最前面。Copilot 的 9.6 分 RCE 需要关注,但利用前提(用户访问恶意网站)限制了其紧迫性。BitLocker 绕过漏洞对大多数用户的影响相对间接。

一个值得在更长维度上关注的问题是:AI 辅助漏洞发现正在改变「漏洞」这个词的含义。过去,一个漏洞被记录、分配 CVE 编号、纳入补丁流程,意味着它经过了人工代码审查或外部研究者的提交。AI 扫描可以在同一段代码中发现数百个潜在缺陷——其中许多可能在实际攻击场景中难以触及。当漏洞发现速度从「人工徒步」切换到「机器扫射」后,CVE 计数本身作为安全态势的度量指标,可能需要进行校准。

参考链接

  • Krebs on Security: Microsoft Patches a Record 570 Security Flaws
  • Cyber Security News: Record-Breaking Microsoft Patch Tuesday Update: 570 Vulnerabilities Fixed, Including 3 Zero-Days
  • Windows Latest: Don’t skip today’s Windows 11 update. Microsoft just patched a record 570 flaws
  • Microsoft Security Response Center: July 2026 Security Updates

本文的素材来自公开信息和社区讨论。如果你对这个话题有更深入的一手经验,欢迎指出文中的不足。