當前的資安攻防戰場正在發生根本性的轉移。以往發現軟體漏洞(Vulnerability)主要依賴資安研究員的手動分析或靜態掃描掃描工具,但隨著 Anthropic 推出的 Project Glasswing 以及其核心模型 Claude Mythos Preview 的出現,我們正式進入了 AI 能自主且大規模挖掘高風險漏洞的時代。
對於工程師來說,最需要關注的是 AI 挖掘漏洞的效率已經遠超人類的修補速度。在 Project Glasswing 的測試中,該模型在短時間內針對全球關鍵基礎設施軟體掃描出超過一萬個潛在漏洞,其中有超過一千個被確認為高風險或嚴重等級的真實漏洞(True Positives)。這意味著 AI 不再只是輔助寫程式,它已經具備了以安全視角分析原始碼,並將單一漏洞串聯成完整攻擊鏈(Attack Chain)的能力。
一個典型的實例是 WolfSSL 的漏洞(CVE-2026-5194),其 CVSS 評分高達 9.1 分。這類漏洞允許攻擊者偽造憑證並冒充合法服務,一旦被利用,將導致整個信任鏈崩潰。這證明了 AI 能夠發現那些隱蔽且具有系統性影響的邏輯缺陷,而非僅僅是簡單的語法錯誤。
這種能力帶來了一個嚴峻的現實:發現漏洞變得極其容易,但修補漏洞依然困難且緩慢。當攻擊者也能使用類似的 AI 模型時,漏洞從被發現到被利用的時間窗(Window of Exposure)將被極速縮短。
面對 AI 驅動的威脅,開發團隊與維運工程師必須調整防禦策略,重點應放在縮短修補週期(Patch Cycle)。過去採取每季或半年更新一次的模式已不足以應對,許多廠商如 Oracle 已將關鍵修補週期縮短至每月一次。工程師應致力於建立更快速的自動化測試與部署流程,確保安全補丁能第一時間上線。
除了修補程式,深層防禦(Defense in Depth)變得至關重要。既然漏洞無法完全避免且發現速度加快,我們必須強化網路預設配置的硬化(Hardening)、強制執行多因素驗證(MFA),以及維持詳盡的日誌記錄(Logging),以便在漏洞被利用時能迅速偵測並回應。
目前,像 Claude Mythos 或 OpenAI 的 GPT-5.5-Cyber 這類強大模型尚未對公眾開放,是因為其潛在的濫用風險過高。但對企業而言,不能將安全感建立在模型不公開的假設上。相反地,應該主動利用類似的 AI 工具進行紅隊演習(Red Teaming)與滲透測試(Penetration Testing),在對手利用 AI 攻擊之前,先用 AI 找出自己的弱點。
總結來說,AI 正在將資安競賽轉化為一場關於速度的對決。對開發者而言,寫出完美的程式碼已不現實,建立一個能快速發現、快速修補且具備強韌監控能力的韌性系統,才是當前的核心目標。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。