文章总结： 本文介绍利用MonkeyCode平台分析Alist补丁的方法，以CVE-2026-25161和CVE-2026-25160为例，演示了生成diff文件并投喂AI分析的流程。通过对比版本差异，借助AI生成修复报告，展示了AI在漏洞挖掘与代码审计中的应用价值，为安全人员提供了高效思路。 综合评分： 75 文章分类： 漏洞分析,代码审计,AI安全,安全工具

补丁分析|白嫖企业级AI进行漏洞补丁分析

进击的HACK

2026年2月14日 00:04 江苏

编者荐语：

学习ing……

以下文章来源于卫界安全-阿呆攻防 ，作者老呆

卫界安全-阿呆攻防 .

本公众号致力于分享代码审计、js/app逆向、应急响应、免杀、病毒分析、红蓝攻防等知识

以Alist为例，展示AI分析补丁包的能力

白嫖来源-长亭MonkeyCode

白嫖的最香。

Alist CVE

1. CVE-2026-25161

NVD链接

https://nvd.nist.gov/vuln/detail/CVE-2026-25161

发布日期

2026年2月4日

漏洞风险

高危

漏洞类型

路径遍历

漏洞描述

Alist 是一个支持多个存储文件的文件列表程序,由 Gin 和 Solidjs 提供支持。在3.57.0版本之前,该应用程序在多个文件操作处理程序中包含路径遍历漏洞。经过身份验证的攻击者可以通过将遍历序列注入文件名组件,从而绕过目录级别授权,从而在同一存储挂载中实现未经授权的文件删除、移动和复制。此问题已在 3.57.0 版本中进行了补丁。

截图

2. CVE-2026-25160

NVD链接

https://nvd.nist.gov/vuln/detail/CVE-2026-25160

发布日期

2026年2月4日

漏洞风险

中危

漏洞类型

TLS证书校验绕过

漏洞描述

Alist 是一个支持多个存储文件的文件列表程序,由 Gin 和 Solidjs 提供支持。在3.57.0版本之前,该应用程序默认禁用所有外向存储驱动程序通信的TLS证书验证,使系统容易受到中间人(MitM)攻击。这使得存储操作过程中传输的所有数据都能实现完全解密、窃取和操作,从而严重损害用户数据的机密性和完整性。此问题已在 3.57.0 版本中进行了补丁。

截图

使用长亭MonkeyCode进行补丁包分析

1.下载仓库

https://github.com/AlistGo/alist.git

2. 查看两个版本差异并保存

git diff v3.56.0 v3.57.0 > diff-356-to-357.txt

3.上传V3.57.0版本zip并将差异文件内容复制给MonkeyCode

链接

https://github.com/AlistGo/alist/archive/refs/tags/v3.57.0.zip

AI分析

分析完成并要求写入md文档，可以通过源文件复制md代码保存本地。

AI结果

对MonkeyCode感兴趣的可以入群交流

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：进击的HACK 《补丁分析|白嫖企业级AI进行漏洞补丁分析》