警惕补丁海啸来袭：AI正将数十年的代码积弊一一暴露

英国网络安全机构发出警告，由AI驱动的漏洞挖掘技术正在将多年来隐藏的安全缺陷快速浮出水面，防御方将面临前所未有的修复压力。

英国国家网络安全中心（NCSC）首席技术官奥利·怀特豪斯于上周五在一篇博文中表示，各组织应做好迎接即将到来的"补丁浪潮"的准备。这一浪潮的形成，源于长期积累的安全弱点正以超出许多团队实际修复能力的速度被集中暴露。

怀特豪斯写道："所有组织都存在'技术债务'，即由于优先追求短期利益而非构建稳健产品所遗留下来的大量技术问题，这些问题既耗资巨大，又费时费力。"

他进一步指出："人工智能在具备足够技术水平和专业知识的人员手中，已展现出在整个技术生态系统中大规模、高效率地利用这些技术债务的能力。"NCSC认为，随着这些弱点被批量发现和处理，行业将迎来一场"被迫纠偏"。

这一警告恰在各大厂商竞相推出相关工具之际发出。Anthropic的Claude Mythos和OpenAI的GPT-5.5-Cyber等模型承诺能在攻击者发现漏洞之前抢先定位并修复问题，然而同样的技术能力也在客观上降低了漏洞发现的门槛。

怀特豪斯写道："我们预计将出现大量针对各级别漏洞的更新，其中不乏高危级别。"

NCSC呼吁各安全团队主动压缩暴露面，以应对即将到来的漏洞修复洪流。"所有组织必须尽快采取措施，识别并最小化其面向互联网及其他外部暴露的攻击面。"怀特豪斯同时建议，防御方应"优先处理网络边界上的技术资产，再逐步向内部推进"。

他还强调，仅靠打补丁还远远不够，那些已停止支持或处于生命周期末期的系统，可能需要彻底替换。

NCSC向各组织传递的核心信息是："做好准备，更快、更频繁、更大规模地部署补丁。"现实情况是，大量修复将同步涌来，而留给团队的处理时间却将越来越少。

Q&A

Q1：NCSC所说的"补丁浪潮"具体指的是什么？

A：NCSC所说的"补丁浪潮"是指，随着AI技术被用于大规模、高速度地挖掘软件漏洞，过去长期隐藏的技术债务将被集中暴露，导致大量安全补丁在短时间内密集发布。各组织需要同时应对数量更多、级别更高的漏洞修复任务，而可用的响应时间却大幅压缩，这对安全团队的修复能力构成极大挑战。

Q2：AI在漏洞挖掘方面带来了哪些双重风险？

A：AI在漏洞挖掘领域具有明显的双面性。一方面，Anthropic的Claude Mythos、OpenAI的GPT-5.5-Cyber等工具可以帮助防御方在攻击者之前发现并修复漏洞；另一方面，同样的技术也大幅降低了攻击者发现漏洞的门槛，使得技术水平有限的人员也能利用AI大规模挖掘系统弱点，从而加剧了整体网络安全风险。

Q3：面对AI驱动的漏洞浪潮，组织应该如何应对？

A：NCSC给出了几项具体建议：首先，尽快识别并缩减面向互联网及外部暴露的攻击面；其次，优先处理网络边界上的技术资产，再逐步向内部推进；第三，做好快速、频繁、大规模部署补丁的准备；最后，对于已停止支持或处于生命周期末期的系统，仅打补丁已不足够，必要时需整体替换。