2026-04-13 04:41:19 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 360数字安全集团利用自研漏洞挖掘智能体首次实现AI独立完成AdobeAcrobatReader在野0-day漏洞的根因分析与自动化复现。该高危漏洞可绕过软件防护机制实现远程代码执行，影响全球大量用户。文章披露漏洞源于JavaScript引擎权限校验缺陷，并给出关闭JavaScript、使用浏览器PDF阅读器及等待官方补丁三项防护建议。 综合评分： 85 文章分类： 漏洞分析,AI安全,应急响应,威胁情报,解决方案

cover_image

行业首家！360漏洞挖掘智能体率先完成在野0-day漏洞根因分析与复现

360数字安全

2026年4月10日 19:26 北京

在小说阅读器读本章

去阅读

news

近日，360数字安全集团依托自主研发的漏洞挖掘智能体体系，对Adobe Acrobat Reader一款在野0-day高危漏洞的自动化复现与验证，实现了行业首次由AI智能体独立完成0-day漏洞根因分析与自动化复现的突破。该漏洞可直接突破软件内置安全防护机制，实现远程代码执行与主机控制，威胁覆盖全球海量政企及个人用户。目前，360漏洞复现智能体已完成漏洞全流程验证，并对外发布安全通告与防护建议，为广大用户筑牢安全防线。

Adobe Acrobat Reader是全球使用范围最广、应用场景最丰富的PDF阅读与编辑工具，广泛覆盖办公、政务、金融、教育等关键领域。因其用户基数庞大、使用频次高，一旦出现高危漏洞，极易被黑产团伙利用，引发大规模数据泄露、定向攻击乃至系统性安全事件。

据360安全专家介绍，此次发现的特权API权限绕过及远程代码执行漏洞，核心隐患源于Adobe Reader底层JavaScript引擎在权限校验环节存在安全缺陷。攻击者可通过构造特制PDF文档，嵌入精心设计的恶意代码，绕过软件安全策略限制，突破防护边界获取系统高级操作权限。攻击一旦触发，攻击者可在用户完全无感知的状态下，读取本地敏感文件、获取系统核心信息，并建立隐蔽的远程控制通道，最终实现对受害设备的持久化控制与数据窃取。整个攻击过程隐蔽性强、危害等级高，不仅可能造成隐私泄露与核心数据失窃，还可被用于定向攻击、勒索病毒投放等恶意活动，安全风险极高。

经360安全团队验证，Adobe官方截至目前尚未发布针对该漏洞的补丁，Adobe Reader 2026.001.21367（最新版）及以下版本均受波及。更为严峻的是，即便用户开启保护模式、AppContainer隔离、受保护视图等软件默认推荐的安全机制，也无法有效抵御该漏洞的利用。目前，该漏洞相关利用信息已在互联网公开传播，黑产团伙与恶意攻击者极易获取并滥用，全球用户均面临紧迫的安全威胁。

本次漏洞的快速发现、深度分析与全链路验证，全程由360漏洞复现智能体独立完成，自动化完成核心验证流程。作为漏洞挖掘智能体体系的重要组成，漏洞复现智能体深度融合360二十余年攻防实战经验与大模型能力，可自动化实现威胁线索捕捉、漏洞原理分析、攻击环境构建、漏洞利用验证等全流程工作。在本次Adobe Reader漏洞研判中，智能体精准定位风险根源，高效完成沙箱穿透、权限绕过、文件读取等关键验证环节，快速输出可复现POC与完整攻击链，将传统人工数天的分析周期压缩至小时级，大幅提升高危漏洞响应与处置效率，成为应对智能时代网络威胁的核心安全能力。

截至目前，360漏洞挖掘智能体体系已连续发现并披露一系列高价值安全漏洞，尤其在AI智能体、大模型应用等新兴领域持续产出重要漏洞成果，已成为应对智能时代网络威胁的核心安全能力。

针对此次高危漏洞，360已第一时间发布临时安全防范建议，帮助用户快速降低风险：

用户进入Adobe Reader首选项，在JavaScript设置中关闭“启用 Acrobat JavaScript”功能；

临时办公可使用浏览器内置PDF阅读器替代；

待Adobe官方补丁发布后，第一时间完成最新版本升级。

往期推荐

| | | | | | — | — | — | — | | | | | | — | — | | 01 | ● 2026两会观察 | 周鸿祎为智能体人才培养献策，360先行落地 | | ► 点击阅读 | | | | | | | — | — | | 02 | ● 360龙虾卫士重磅上线：九大能力专治OpenClaw“裸奔” | | ► 点击阅读 | | | | | | | — | — | | 03 | ● IDC双报告首推：360以绝对实力护航每只“龙虾”安全 | | ► 点击阅读 | | | | | | | — | — | | 04 | ● 360安全龙虾「养虾速成课」正式上线ISC.AI学苑！ | | ► 点击阅读 | |

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：360数字安全《行业首家！360漏洞挖掘智能体率先完成在野0-day漏洞根因分析与复现》