2026 年 6 月 14 日AI 閱讀筆記與產業觀察
AI 安全與治理

AI 幫忙找 Bug 的時代來了:微軟單月修補近 200 個漏洞,創 Patch Tuesday 紀錄

微軟 2026 年 6 月的 Patch Tuesday 修補了破紀錄的近 200 個安全漏洞,其中 33 個被列為「重大」等級。加上另外 360 個瀏覽器漏洞,實際修補數量更高。資安研究人員指出,AI 工具已讓九成專業人士改變了找漏洞的方式,這種修補量級可能成為新常態。

· 來源: Techmeme Ride Home
AI 幫忙找 Bug 的時代來了:微軟單月修補近 200 個漏洞,創 Patch Tuesday 紀錄

本文整理自 Techmeme Ride Home 2026 年 6 月 10 日播出的單集,原始報導來自 Krebs on Security。

200 個漏洞:新紀錄是怎麼來的

微軟在 6 月 10 日釋出了每月例行的安全更新(Patch Tuesday),一口氣修補了 Windows 作業系統及相關軟體中的近 200 個安全漏洞。這是 Patch Tuesday 自 2003 年實施以來的單月修補紀錄。

在這近 200 個漏洞中,有 33 個被微軟列為最嚴重的「重大」(Critical)等級,至少 3 個漏洞的攻擊程式碼已經在網路上公開流通,代表攻擊者已經有現成的工具可以利用。

但真正的數字比標題還要驚人。資安公司 Rapid7 的 Adam Barnett 指出,微軟這個月實際上還修補了 360 個瀏覽器漏洞,這些漏洞不計入 Patch Tuesday 的官方統計。Barnett 形容這是「比過去幾年任何一個月都多出一個數量級」的水準。也就是說,如果把所有修補加在一起,微軟這個月處理了超過 500 個安全問題。

另一個特別值得開發者留意的是一個 Visual Studio Code 零日漏洞。攻擊者只要讓使用者點一下特製連結,就能竊取他們的 GitHub 身份驗證 Token。對於日常工作高度依賴 VS Code 和 GitHub 的開發團隊來說,這類漏洞的殺傷力相當大,因為一旦 Token 外洩,攻擊者就能存取程式碼儲存庫和相關的基礎設施。

潘朵拉的盒子已經打開

為什麼修補數量突然暴增?微軟自己在部落格文章中給出了答案:無論是微軟的工程師還是外部的資安社群,都越來越頻繁地使用 AI 工具來尋找軟體中的漏洞。

資安公司 Tenable 的資深研究工程師 Satnam Narang 提供了一個關鍵數據:根據調查,大約 90% 的資安專業人士目前已經在使用 AI 工具。他認為,這樣的修補量級不太可能只是一次性的異常,而是可能成為新的常態。「潘朵拉的盒子已經打開了,」Narang 說,「隨著更先進的 AI 模型問世,我們預期這個基準會持續上升,不只是 Patch Tuesday,而是全面性的。」

這段話點出了一個結構性的變化。過去,找漏洞是一件高度仰賴人類專業知識和經驗的工作。資安研究人員需要逐行審視程式碼、推演可能的攻擊路徑、建構概念驗證攻擊。這個過程緩慢、昂貴,而且受限於人力。AI 工具改變了這個方程式:它們能在短時間內掃描大量程式碼,辨識出人類可能遺漏的模式。

這對防禦端來說既是好消息也是壞消息。好消息是,漏洞被發現得更快,也就能更快修補。壞消息是,攻擊者同樣可以使用 AI 來找漏洞,而且他們不需要等到 Patch Tuesday 才行動。微軟本月至少有 3 個已被公開利用的漏洞,就是這種攻防速度落差的體現。

瀏覽器漏洞的隱藏冰山

微軟決定不再在其安全更新指南中逐一列舉 Chromium 的 CVE(Common Vulnerabilities and Exposures,通用漏洞與暴露),這個決定本身就說明了問題的規模。過去,微軟會把基於 Chromium 的 Edge 瀏覽器相關漏洞一一列在 Patch Tuesday 報告中。但現在,由於瀏覽器漏洞的數量持續且大幅攀升,微軟索性停止在安全更新指南中列舉。

Barnett 指出,360 個瀏覽器漏洞是過去幾年月均水準的十倍以上。這代表實際上,每個月需要處理的安全問題比 Patch Tuesday 的標題數字所暗示的要多得多。對企業的 IT 團隊而言,這意味著光靠每月一次的更新週期可能已經不夠,持續性的安全監控和快速補丁部署正在變成必需品。

對開發者和企業的實際影響

這波修補潮對企業和開發團隊有幾個直接的訊號。

VS Code 的零日漏洞是最急迫的一個。開發工具本身正在成為攻擊目標,GitHub Token 一旦被竊取,攻擊者可以用來推送惡意程式碼、修改 CI/CD 流程,甚至在供應鏈中植入後門。使用 VS Code 的開發團隊應該立即更新,這次不能拖。

更大的問題是修補策略本身。過去的節奏是每月一次 Patch Tuesday,中間穿插零星的緊急修補。但如果漏洞發現的速度提升了一個數量級,傳統的月度更新週期還夠用嗎?部分企業已經在轉向持續交付模式的安全更新,這個趨勢可能會加速。

還有一個數字值得玩味:90% 的資安專業人士已經在用 AI 找漏洞,那剩下的 10% 正在被拉開多大的差距?資安領域的工具軍備競賽已經進入新階段,不是要不要用 AI 的問題,而是怎麼用、用多深的問題。

Narang 說得對,潘朵拉的盒子打開了就關不上。漏洞會被更快地找到,修補也必須更快地跟上。這場攻防的節奏正在加速,而從微軟這個月的 200 加 360 來看,加速的幅度可能比大多數人預期的更大。