當前網路安全面臨的一個重大轉折點,在於攻擊者開始大規模利用人工智慧(AI)與大型語言模型(LLM)來加速攻擊流程。印度電腦緊急應變小組(CERT-In)近期發布的一份指引揭示了一個令人緊張的趨勢:由於 AI 能自動化地發現漏洞、分析漏洞利用方式並生成惡意程式,攻擊者從發現漏洞到實際發動攻擊的時間窗(Attack Window)被極大程度地壓縮了。
為了應對這種速度,CERT-In 提出了一個極具挑戰性的要求:針對暴露在網際網路上的關鍵系統,一旦發現已知被利用的漏洞,組織應在 12 小時內完成修補。
為什麼 AI 會讓漏洞修補丁的時效性變得如此重要
對於初入行的工程師來說,傳統的漏洞修補流程通常有一定的週期,例如每個月一次的 Patch Tuesday。但在 AI 時代,這個邏輯失效了。AI 工具可以協助攻擊者在極短時間內完成偵查(Reconnaissance)與武器化(Weaponization),將原本需要人工分析數天的漏洞利用過程縮短至數小時甚至數分鐘。
這意味著,當一個漏洞被公開或被掃描到時,自動化攻擊腳本可能會在短時間內掃遍全球所有暴露的伺服器。如果你的修補速度慢於 AI 掃描的速度,系統幾乎必然會被攻破。
CERT-In 定義的漏洞修補時限
為了量化風險,CERT-In 將漏洞修補的優先級與時間要求明確化,這可以作為企業建立漏洞管理流程(Vulnerability Management)的參考基準:
第一優先級:暴露於網際網路且已知被利用的漏洞,要求在 12 小時內修補。
第二優先級:外部暴露的關鍵漏洞,或內部系統中已知被利用的漏洞,要求在 1 天內修補。
第三優先級:影響高價值內部系統的關鍵漏洞,要求在 3 天內修補。
第四優先級:高風險等級的其他漏洞,根據風險優先級在 5 天內修補。
當補丁尚未發布時的應對方案
在現實工程實務中,並非所有漏洞在發現的第一時間就有官方補丁(Patch)。當處於這種真空期時,不能坐以待斃,而應採取臨時緩解措施(Mitigations),例如:使用 WAF(網頁應用程式防火牆)或 API 閘道攔截惡意請求、將受影響的系統進行網路隔離、限制存取權限,或是暫時關閉該漏洞相關的功能模組。
面對 AI 威脅的系統性防禦觀念
單靠加快修補速度是不夠的,因為 AI 的攻擊是全方位的。CERT-In 建議組織應從底層設計調整防禦邏輯:
採納零信任架構(Zero Trust)與最小權限原則。不要假設內部網路是安全的,所有請求都必須經過持續驗證,且僅賦予執行任務所需的最低權限,這樣即使單一節點被 AI 攻破,也能防止攻擊者在網路內橫向移動。
建立深度防禦(Defense-in-Depth)。不要依賴單一的安全控制項,應在基礎設施、應用程式、資料層建立多層防護,消除單一故障點。
強化軟體供應鏈安全。AI 時代的風險不僅來自自己的程式碼,還包括第三方套件與 AI 模型。建議導入 SBOM(軟體物料清單),明確知道系統中使用了哪些元件及其版本,以便在漏洞爆發時迅速定位受影響範圍。
關注 AI 系統本身的安全性。AI 不僅是工具,也是目標。工程師需要警惕提示詞注入(Prompt Injection)、訓練資料中毒(Data Poisoning)以及模型竊取等新興攻擊手法。
總結與實務建議
對開發與維運團隊而言,這項指引傳達了一個核心訊息:安全不再是每季一次的審核,而必須變成一種持續的、基於風險的動態管理。建議團隊建立自動化的漏洞掃描機制,並將修補流程與 CI/CD 管道深度整合,以縮短從發現到部署的時間。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。