此篇文章聚焦於AI資安新創公司Novee近期公布的一項研究成果,說明其團隊透過人機協作的研究模式,在兩大常見PDF技術生態系Apryse WebViewer與Foxit PDF平臺中發現多達16項零時差漏洞。研究結果顯示,這些漏洞的風險等級包含1項重大漏洞、4項高風險漏洞以及11項中等漏洞。文章指出,這些問題已依循負責任揭露流程通知相關廠商並完成修補,因此整體研究更偏向揭示當前PDF平臺在技術架構上的潛在安全盲點。從產品分布來看,Apryse相關產品涉及1項重大漏洞與2項高風險漏洞,而Foxit平臺則包含2項高風險漏洞與11項中等漏洞。這些漏洞的影響範圍不僅限於單一功能,而是涵蓋瀏覽器內建的PDF檢視器、網頁中常見的iframe嵌入元件,以及後端負責文件轉檔、電子簽章與文件協作處理的PDF服務,顯示PDF相關技術在現代Web應用中的角色已相當廣泛。
進一步來看,此篇文章也深入說明這些漏洞形成的技術背景。研究指出,現代PDF平臺已逐漸演變為複雜的Web應用環境,內部整合多種技術,包括JavaScript、WebAssembly、postMessage跨框架訊息傳遞機制,以及雲端文件轉換與處理服務。在這樣的架構下,PDF文件中的內容與URL參數,可能在瀏覽器前端畫面、嵌入式框架以及後端服務之間不斷流動。文章強調,一旦系統在處理這些未受信任輸入時缺乏足夠的驗證與清理機制,就可能產生多種常見但危險的攻擊情境,例如DOM型跨站腳本攻擊、伺服器端請求偽造、路徑穿越,甚至是作業系統命令注入等問題。研究也指出,在某些情境下,攻擊者只需透過單一惡意PDF文件或經過設計的連結,就可能觸發漏洞,進一步造成帳號接管,甚至達到遠端程式碼執行的效果。這些案例顯示,看似單純的文件檢視或轉檔服務,其實可能隱含相當複雜的攻擊面。
文章另一個重點在於Novee所採用的人機協作研究方法。研究團隊首先以人工方式深入分析PDF平臺的架構與資料流動模式,手動找出三個具有代表性的關鍵漏洞,並從中整理出共同的漏洞推理邏輯與結構特徵。接著,研究人員將這些結構化的漏洞模式轉換為多代理AI模型可理解的攻擊推理方式,使AI能夠從資料來源一路追蹤到可能產生危險執行的節點,並在更廣泛的系統模組與服務中進行自動化探索。透過這樣的方式,AI最終額外發現13個可利用漏洞。此篇文章也指出,AI在研究過程中並未發現全新的漏洞類型,而是將人類研究者已辨識出的漏洞模式擴展至更多系統組件與服務環境中,進而找出更多可被利用的實例。Novee因此認為,隨著PDF平臺功能逐漸朝完整Web應用發展,其攻擊面也同步擴大,企業在導入或部署相關服務時,應重新檢視既有的安全測試策略與風險評估方法,以因應愈加複雜的應用架構與威脅情境。
