2026年6月3日，网络安全公司Calif利用OpenAI Codex智能体发现HTTP/2 Bomb拒绝服务攻击。该攻击通过滥用HPACK压缩与流控停滞机制，单台设备即可在10–18秒内耗尽服务器32GB内存，影响NGINX、Apache、IIS、Envoy及Cloudflare Pingora等主流服务。攻击者以极小请求头触发数千倍内存分配，并阻塞响应释放。目前NGINX 1.29.8和Apache httpd mod_http2 2.0.41已发布修复，对应CVE-2026-49975；IIS、Envoy与Pingora暂无补丁，建议临时禁用HTTP/2或部署前置防护。

免责声明：本文内容由开放的智能模型自动生成，仅供参考。