當 AI 讓漏洞利用縮短至 24 小時：為什麼傳統漏洞管理失效，而 BAS 成為新核心？

過去三十年，資安防禦一直依賴一個緩衝時間，也就是從漏洞被發現到攻擊者將其武器化（Weaponize，將漏洞轉化為可實際執行的攻擊程式）之間的時間差。在那個時代，資安團隊只要根據嚴重程度進行分級、排程修補並驗證，就能有效控制風險。但現在，AI 徹底摧毀了這個緩衝區。

AI 並沒有讓防禦團隊變慢，而是讓攻擊者的速度呈指數級增長。原本需要數月才能完成的漏洞挖掘與利用過程，現在被壓縮到了僅僅幾個小時。對於習慣於緩衝空間的防禦流程來說，這是一個致命的打擊。

AI 將漏洞挖掘轉化為數量遊戲

AI 改變了漏洞發現的規模。以 2026 年的數據為例，利用先進的 AI 模型（如 Claude Mythos Preview），研究人員能在單月內於關鍵軟體中發現超過一萬個高危險或嚴重漏洞。更驚人的是，AI 能夠挖掘出隱藏長達 27 年之久的漏洞，且在發現後極短時間內就能寫出可運行的漏洞利用程式（Exploit）。

對攻擊者而言，現在不再需要頂尖的駭客技術，只要透過自動化的 AI 代理（Agent）與工具，就能大規模地掃描弱口令或利用已知漏洞。攻擊的門檻降低了，但速度與規模卻大幅提升。

漏洞利用時間窗的崩潰

在資安領域有一個關鍵指標叫 TTE（Time-to-Exploit），即漏洞公開到首次被實際利用的時間。2024 年時，這個時間平均約為 53 天；到了 2026 年，這個數字已劇降至約 24 小時。

這意味著當一個 CVE（常見漏洞披露）公開時，你可能只有一天時間來決定如何應對，而不再有數週的緩衝期。

修補速度的物理限制

面對 AI 的速度，管理層的直覺反應通常是要求團隊更快地修補（Patch）。但對工程師來說，修補並非按下開關那麼簡單。一個補丁在進入生產環境前，必須經過回歸測試（Regression Testing，確保新補丁不會弄壞舊功能）、等待變更窗口（Change Window）以及審核流程。

如果為了追趕攻擊速度而強行在生產環境部署未經測試的補丁，導致系統崩潰，這在本質上與被駭客攻擊造成的停機沒有區別。數據顯示，即便在 AI 時代，企業修補已知漏洞的中位數時間依然維持在數週，這與攻擊者以小時計算的速度形成了巨大的落差。

從漏洞管理轉向暴露驗證

傳統的漏洞管理邏輯是：發現漏洞 $\rightarrow$ 根據 CVSS 分數分級 $\rightarrow$ 優先修補高分漏洞。但在每天有數千個漏洞披露的時代，這種方法失效了。當清單上所有漏洞的分數都是 9 或 10 分時，分級就失去了優先順序的意義。

對工程師而言，真正重要的問題不再是「我有多少漏洞」，而是「哪些漏洞在我的環境中是真正可觸達且可被利用的？」以及「我的現有防禦工具是否能攔截這次攻擊？」。

這正是 BAS（Breach and Attack Simulation，入侵與攻擊模擬）介入的原因。

BAS 如何解決 AI 時代的痛點

BAS 不是單純的掃描，而是將真實世界的攻擊技術（TTPs，戰術、技術與程序）在受控的環境中對現有的防禦堆棧（如 WAF、IPS、EDR）進行實際演練。

首先，BAS 能區分理論風險與實際風險。如果一個漏洞雖然嚴重，但已被現有的 WAF 或 EDR 攔截，那麼它就不是緊急火警，團隊可以按照正常流程修補。

其次，BAS 能驗證已購買工具的有效性。許多企業部署了數十種資安工具，但配置是否正確？是否有漏洞縫隙？BAS 能直接給出答案。

最後，BAS 為修補爭取時間。當能證明某個關鍵資產已被強化的控制措施保護時，修補工作就不需要採取緊急部署，而能走穩健的變更流程。

這種策略轉移被 Gartner 稱為對抗性暴露驗證（Adversarial Exposure Validation），將安全效能與業務脈絡結合，不再依賴假設性的分數，而是依賴實證。

自動化防禦：以機器速度對抗機器

如果攻擊者使用自動化 AI，那麼由人工驅動、需要一週才能完成一次的驗證週期將毫無意義。對抗自動化攻擊的唯一方法是自動化防禦。

然而，直接將生成式 AI 用於產生攻擊載荷（Payload）存在風險，可能會產生幻覺或在生產環境中觸發未經審核的惡意程式。因此，現代的 BAS 趨勢是讓 AI 負責協調而非創造。AI 代理會分析威脅報告，從預先驗證的安全庫中挑選適用的攻擊模組，快速組裝成模擬鏈路。

這樣一來，從收到 CISA（美國網路安全與基礎設施安全局）警報到完成環境測試、得出風險評分並提供緩解建議，整個過程可以從數天縮短至數分鐘。

總結

在 AI 驅動的攻擊時代，修補漏洞依然必要，但不能作為唯一的策略。當漏洞發現與利用的速度快到超越人類管理能力的上限時，驗證（Validation）就成了核心。透過 BAS 證明哪些路徑是封閉的，哪些是真正敞開的，才能讓有限的工程人力投入在真正能改變結果的修補工作中。

來源：thehackernews.com

本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理，並非原文逐字翻譯。