2026-04-13 04:54:49 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 360漏洞研究院利用自主研发的漏洞挖掘智能体，率先实现对AdobeAcrobatReader一个在野0-day高危漏洞的自动化根因分析与复现。该漏洞源于JavaScript引擎权限校验缺陷，可绕过防护机制实现远程代码执行，威胁全球用户。智能体将分析周期从数天压缩至小时级，并发布了关闭JavaScript、使用浏览器阅读器等临时防护建议。 综合评分： 88 文章分类： 漏洞分析,恶意软件,安全工具,漏洞预警,解决方案

cover_image

行业首家！360漏洞挖掘智能体率先完成在野0-day漏洞根因分析与复现

360漏洞研究院 360漏洞研究院

360漏洞研究院

2026年4月10日 19:58 四川

在小说阅读器读本章

去阅读

news

近日，360数字安全集团依托自主研发的漏洞挖掘智能体体系，对Adobe Acrobat Reader一款在野0-day高危漏洞的自动化复现与验证，实现了行业首次由AI智能体独立完成0-day漏洞根因分析与自动化复现的突破。该漏洞可直接突破软件内置安全防护机制，实现远程代码执行与主机控制，威胁覆盖全球海量政企及个人用户。目前，360漏洞复现智能体已完成漏洞全流程验证，并对外发布安全通告与防护建议，为广大用户筑牢安全防线。

Adobe Acrobat Reader是全球使用范围最广、应用场景最丰富的PDF阅读与编辑工具，广泛覆盖办公、政务、金融、教育等关键领域。因其用户基数庞大、使用频次高，一旦出现高危漏洞，极易被黑产团伙利用，引发大规模数据泄露、定向攻击乃至系统性安全事件。

据360安全专家介绍，此次发现的特权API权限绕过及远程代码执行漏洞，核心隐患源于Adobe Reader底层JavaScript引擎在权限校验环节存在安全缺陷。攻击者可通过构造特制PDF文档，嵌入精心设计的恶意代码，绕过软件安全策略限制，突破防护边界获取系统高级操作权限。攻击一旦触发，攻击者可在用户完全无感知的状态下，读取本地敏感文件、获取系统核心信息，并建立隐蔽的远程控制通道，最终实现对受害设备的持久化控制与数据窃取。整个攻击过程隐蔽性强、危害等级高，不仅可能造成隐私泄露与核心数据失窃，还可被用于定向攻击、勒索病毒投放等恶意活动，安全风险极高。

经360安全团队验证，Adobe官方截至目前尚未发布针对该漏洞的补丁，Adobe Reader 2026.001.21367（最新版）及以下版本均受波及。更为严峻的是，即便用户开启保护模式、AppContainer隔离、受保护视图等软件默认推荐的安全机制，也无法有效抵御该漏洞的利用。目前，该漏洞相关利用信息已在互联网公开传播，黑产团伙与恶意攻击者极易获取并滥用，全球用户均面临紧迫的安全威胁。

本次漏洞的快速发现、深度分析与全链路验证，全程由360漏洞复现智能体独立完成，自动化完成核心验证流程。作为漏洞挖掘智能体体系的重要组成，漏洞复现智能体深度融合360二十余年攻防实战经验与大模型能力，可自动化实现威胁线索捕捉、漏洞原理分析、攻击环境构建、漏洞利用验证等全流程工作。在本次Adobe Reader漏洞研判中，智能体精准定位风险根源，高效完成沙箱穿透、权限绕过、文件读取等关键验证环节，快速输出可复现POC与完整攻击链，将传统人工数天的分析周期压缩至小时级，大幅提升高危漏洞响应与处置效率，成为应对智能时代网络威胁的核心安全能力。

截至目前，360漏洞挖掘智能体体系已连续发现并披露一系列高价值安全漏洞，尤其在AI智能体、大模型应用等新兴领域持续产出重要漏洞成果，已成为应对智能时代网络威胁的核心安全能力。

针对此次高危漏洞，360已第一时间发布临时安全防范建议，帮助用户快速降低风险：

用户进入Adobe Reader首选项，在JavaScript设置中关闭“启用 Acrobat JavaScript”功能；

临时办公可使用浏览器内置PDF阅读器替代；

待Adobe官方补丁发布后，第一时间完成最新版本升级。

“洞”悉网络威胁，守护数字安全

关于我们

360 漏洞研究院，隶属于360数字安全集团。其成员常年入选谷歌、微软、华为等厂商的安全精英排行榜, 并获得谷歌、微软、苹果史上最高漏洞奖励。研究院是中国首个荣膺Pwnie Awards“史诗级成就奖”，并获得多个Pwnie Awards提名的组织。累计发现并协助修复谷歌、苹果、微软、华为、高通等全球顶级厂商CVE漏洞3000多个，收获诸多官方公开致谢。研究院也屡次受邀在BlackHat，Usenix Security，Defcon等极具影响力的工业安全峰会和顶级学术会议上分享研究成果，并多次斩获信创挑战赛、天府杯等顶级黑客大赛总冠军和单项冠军。研究院将凭借其在漏洞挖掘和安全攻防方面的强大技术实力，帮助各大企业厂商不断完善系统安全，为数字安全保驾护航，筑造数字时代的安全堡垒。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：360漏洞研究院 360漏洞研究院 360漏洞研究院《行业首家！360漏洞挖掘智能体率先完成在野0-day漏洞根因分析与复现》