GitHub不到六小时内紧急修复高危漏洞

GitHub员工在上月不到六小时内，修复了一个高危远程代码执行漏洞。Wiz Research利用AI模型发现了GitHub内部Git基础设施中的一个安全漏洞，该漏洞一旦被利用，攻击者可能访问数百万个公开及私有代码仓库。

GitHub首席信息安全官Alexis Wales表示："我们的安全团队立即开始验证漏洞赏金报告。在40分钟内，我们便在内部复现了该漏洞并确认了其严重性。这是一个需要立即采取行动的高危问题。"

GitHub工程团队在确定根本原因后约一小时内开发并部署了修复方案，同时保护了GitHub.com和GitHub企业服务器。Wales补充道："在不到两小时内，我们完成了漏洞验证，向github.com部署了修复方案，并启动了取证调查，调查结论显示该漏洞未曾被利用。"这意味着整个问题从Wiz提交报告到完成修复，前后不超过六小时。

据Wiz披露，此次漏洞是"借助AI"发现的，但具体使用了哪种AI模型目前尚不明确。Wiz安全研究员Sagi Tzadik表示："值得注意的是，这是首批通过AI在闭源二进制文件中发现的高危漏洞之一，标志着安全漏洞识别方式正在发生转变。"

尽管GitHub的快速响应使修复在数小时内完成，但Wiz警告称，这一罕见漏洞"极易被利用"，这与GitHub底层系统的高度复杂性形成鲜明对比。Wales对此表示："此类漏洞的发现频率极低、危害极高，因此获得了我们漏洞赏金计划中最高等级的奖励之一。这也再次提醒我们，最有价值的安全研究往往来自那些懂得如何提出正确问题的专业研究人员。"

此次高危漏洞的披露，距离GitHub发生重大服务故障仅数日之隔。此前，部分用户反映已合并的代码提交（代码快照）被随机回滚，GitHub上周还接连出现多次服务中断，服务稳定性问题愈发凸显。此前有报道指出，有GitHub员工表示"公司正在走向崩溃，频繁且严重的服务中断已严重损害了公司声誉，同时高层管理人员也在持续流失"。

Q&A

Q1：Wiz Research是如何发现GitHub高危漏洞的？

A：Wiz Research利用AI模型发现了GitHub内部Git基础设施中的高危漏洞。该漏洞存在于闭源二进制文件中，据Wiz安全研究员Sagi Tzadik介绍，这是首批通过AI发现的此类高危漏洞之一，标志着安全漏洞识别方式正在发生转变。目前，具体使用的AI模型信息尚未对外公开。

Q2：GitHub这次漏洞有多严重？会造成什么影响？

A：此次漏洞属于远程代码执行类高危漏洞，一旦被攻击者利用，可能导致数百万个公开及私有代码仓库遭到非法访问。Wiz评估认为该漏洞"极易被利用"，尽管GitHub底层系统相当复杂。由于GitHub团队响应迅速，取证调查结论显示该漏洞在被修复前未曾遭到实际利用。

Q3：GitHub修复这次漏洞用了多长时间？修复流程是怎样的？

A：GitHub从收到Wiz的漏洞报告到完成修复，全程不到六小时。具体流程为：安全团队在40分钟内完成漏洞复现与严重性确认；工程团队在确定根本原因后约一小时内完成修复部署；两小时内完成了对GitHub.com的修复并启动取证调查，最终确认漏洞未被利用。