AI Agent曝网络设备0Day漏洞CVE-2025-54322(CVSS 10分)
在官方发布补丁之前,建议使用Xspeeder SD-WAN设备的企业将这些设备与公共互联网隔离开来,以免攻击者利用这个漏洞发起网络攻击。
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
一组自主运行的AI智能体,在全球广泛使用的网络设备中发现了一个尚未修复的关键漏洞。pwn.ai发布的最新报告详细披露了Xspeeder生产设备中存在的认证前远程代码执行(RCE)漏洞,这家厂商以路由器和SD-WAN设备闻名。该漏洞编号为CVE-2025-54322,其CVSS评分达到了满分的10分。
虽然自动化扫描工具早已存在,但pwn.ai宣称此次发现代表了其技术能力的重大飞跃。其平台能够自主模拟设备固件,精准识别出攻击面,并在无人干预的情况下找到具体的入侵路径。
报告明确指出:“据我们所知,这是首个由AI智能体发现并公开披露的、可通过远程利用的0Day级别RCE漏洞。”
漏洞技术细节
这些AI智能体瞄准的是Xspeeder SD-WAN设备的核心固件SXZOS。这类设备通常部署在远程工业设施和分支机构网络中,是企业网络架构的关键节点。
研究人员仅仅向AI下达了简单的指令:模拟设备并尝试获取未经授权的控制权。结果迅速且具有破坏性——“它很快便识别出一个完整的认证前RCE入口点,并告诉我们已找到了入侵方法。”
漏洞利用机制
攻击者无需登录即可执行任意系统命令。通过操控特定的HTTP请求头部——特别是使用SXZ/2.3作为User-Agent,以及一个经过计算的、基于时间的X-SXZ-R头部——AI成功地绕过了设备中Nginx中间件的安全控制。
厂商响应缺失
该漏洞目前仍属于0Day,意味着尚无官方补丁可用。报告显示,pwn.ai曾尝试联系Xspeeder进行负责任的漏洞披露长达半年多,但未获得任何回应。
报告特别指出:“我们选择将其作为首个公开案例,是因为与其他厂商不同,尽管我们进行了超过七个月的沟通尝试,始终未能获得Xspeeder的任何回复。因此在发布时,这仍是一个0Day漏洞。”
风险影响范围
考虑到这些设备的广泛部署,厂商的沉默尤其令人担忧。Fofa等网络空间测绘服务已发现大量暴露在公网上的受影响系统。
“全球各地的数万台基于SXZOS系统的设备可以被公开访问,这使得该固件及其暴露的任何潜在漏洞,都构成广泛存在的攻击风险面。”
缓解建议
在补丁发布之前,建议仍在部署Xspeeder SD-WAN设备的企业,立即将这些设备从公共互联网中隔离,以防威胁行为者利用此漏洞进行攻击。
相关攻略
F5公司已发布解决方案指南,强烈建议各组织立即遵循最新缓解步骤。 美国网络安全和基础设施安全局(CISA)已将新披露的F5 BIG-IP系统漏洞纳入其已知已利用漏洞(KEV)目录,警告该漏洞正在真实
智通财经APP获悉,美股网络安全板块周五集体承压下行,CrowdStrike(CRWD US)、Palo Alto Networks(PANW US)和Zscaler(ZS US)股价均下跌逾5%,
3月27日周五早盘,网络安全行业股重挫。周五美股早盘,Tenable一度跌逾13%,Zscaler曾跌超9 5%,Palo Alto Networks曾跌逾8 2%,CrowdStrike曾跌超7
智东西编译 杨京丽编辑 李水青智东西3月27日消息,据《财富》杂志今日报道,Anthropic确认本周正在测试一款名为“Mythos”(神话)的新模型。该模型因数据泄露意外曝光,Anthropic称
克雷西 梦瑶 发自 凹非寺量子位 | 公众号 QbitAI抓马!向来标榜安全的Claude,竟然把自家模型泄露了!?新模型代号“Mythos”,又叫“Capybara(卡皮巴拉)”,比当下Claud
热门专题
热门推荐
鲁大师软件管家可安全升级常用软件:一、启动后点击顶部“软件管家”选项卡自动扫描;二、在“可升级软件”列表点击绿色“升级”按钮确认安装;三、勾选多个软件后点“批量升级”按钮并发处理;
3月29日,北京已在全国率先启动智能网联新能源汽车商业保险产品开发应用。新产品基本沿用现有的新能源商业车险体系,按照“总体稳定、部分优化”的原则,主要为消费者和汽车企业关心的特定智驾场景、软硬件损失
预计苹果今年将发布两款新的 iPhone 应用,包括 Apple Business 应用和一款具备类似聊天机器人功能的 Siri 应用。借助 Apple Business 应用,使用全新 Apple
据 Axios 报道,苹果公司已聘请前谷歌副总裁 Lilian Rincon 担任人工智能产品营销副总裁。加入苹果之前, Rincon 曾任谷歌购物产品副总裁。在苹果, Rincon 将负责苹果所有
3月29日消息,谁能料到前段时间奥迪车主与雷军之间的那个打赌,竟然还有后续。这到底是咋回事?事情发生在3月25日,网友@单手开吉利 在雷军的微博评论区晒出了自己去年10月刚提的奥迪车,还当场立下一个