面對 AI 2026 年 AI 驅動的安全威脅,許多資安公司紛紛宣布推出所謂的漏洞結算所(Clearinghouse)。對於初入行的工程師來說,這個詞聽起來很像金融術語,但在資安脈絡下,它實際上是指一個專門收集、管理並協調「尚未公開漏洞」的集中化資料庫。
為什麼現在突然間所有人都想建立結算所?這背後的技術脈絡與實務影響是什麼?本文將為你拆解這場趨勢的本質。
什麼是漏洞結算所
簡單來說,結算所就是一個漏洞資料庫。我們熟悉的 NVD(國家漏洞資料庫)或 GitHub Advisory Database 其實都是結算所。它們的作用是將漏洞資訊集中化,讓開發者能查詢並修補。
然而,今年出現的結算所與以往不同,它們聚焦在「預披露漏洞」(Pre-disclosure Vulnerabilities)。這類漏洞是指那些已經被發現,但尚未對大眾公開( Embargo 狀態)的缺陷。由於現代應用程式高度依賴開源套件,一個深層依賴項(Dependency)的小漏洞,就可能讓整個應用程式的權限被完全接管。
AI 導致的漏洞大爆發
為什麼現在預披露漏洞這麼多?答案是 AI 模型的演進。
現在的安全研究員不再是單純地閱讀程式碼,而是將 AI 模型(如 Mythos 等)丟進一個包含執行環境、除錯器與沙盒的真實應用程式中,直接下指令叫 AI 破解它。AI 不在乎你的程式碼與開源套件之間的界線,它會直接找出路徑,從你的業務邏輯一路鑽到三層深處的一個沒人維護的開源函式庫中。
這導致了一個嚴峻的現實:漏洞發現的速度遠超人類修補的速度。目前的平均漏洞利用時間(Mean Time to Exploit)甚至變成了負數(約為負 7 天),意即在補丁公開之前,攻擊者就已經開始利用該漏洞了。
資料庫不重要,自動化工廠才重要
對於工程師而言,最關鍵的觀念是:資料本身是靜態的,它不能修補任何東西。
許多公司宣稱擁有龐大的漏洞資料庫(Pool),但這只是輸入端。真正的價值在於 actuation(執行化),也就是將漏洞發現轉化為實際修補的過程: 獲取源碼。 重新構建(Rebuild)。 進行測試(Test)。 簽署成品(Sign)。 將補丁回溯(Backport)到用戶實際運行的舊版本中。
如果一個結算所只有資料而沒有自動化構建流水線(Factory),它就只是一個沒人檢查的信箱。真正的競爭力在於 throughput(吞吐量),即從發現漏洞到交付可用補丁的週轉速度。
從協調披露轉向編排披露
過去我們習慣的是協調披露(Coordinated Disclosure),這是一種人與人之間的協議:發現者與維護者商量一個日期,在該日期公開漏洞並發布補丁。
但在 AI 時代,面對成千上萬個漏洞,人手協調已不可能。我們需要的是編排披露(Orchestrated Disclosure)。
想像一下 Log4j 事件,當時補丁雖然存在,但全球數十萬個安全團隊必須手動搜尋程式碼、手動寫 WAF 規則、手動更新版本,這導致了巨大的混亂。編排披露的目標是像指揮家一樣,在禁令解除的瞬間,同步觸發所有控制點:WAF 規則生效、網路簽名更新、回溯補丁推送、VEX(漏洞影響分析)數據發布。
如何評估一個漏洞結算所的價值
如果你在評估資安供應商時,對方提到他們有結算所,請不要被資料庫的大小(Pool Size)唬住,而應詢問以下兩個核心指標:
第一,吞吐量(Throughput):從發現漏洞到提供經過測試且簽署的補丁,中位數時間是多少?其中有多少比例是不需要人工介入自動完成的?
第二,觸及率(Reach):這些補丁有多少比例成功推送回了開源上游(Upstream)?如果補丁只在供應商自己的私有倉庫裡,那它只保護了少數客戶;如果能進入上游源碼,則能保護全球所有使用該套件的人。
最終目標:讓結算所消失
雖然自動化修補能救急,但這本質上是在跑步機上賽跑。最根本的解決方案是 Secure by Design(設計安全),即重新構建開源基礎層,讓某些類型的攻擊在底層邏輯上就變得不可能,而不是在漏洞發現後才來追趕補丁。
一個真正有遠見的結算所運營者,應該是致力於讓自己的服務變得不再必要。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。