英国网络安全机构发出警告,由AI驱动的漏洞挖掘技术正在将多年来隐藏的安全缺陷快速浮出水面,防御方将面临前所未有的修复压力。
英国国家网络安全中心(NCSC)首席技术官奥利·怀特豪斯于上周五在一篇博文中表示,各组织应做好迎接即将到来的"补丁浪潮"的准备。这一浪潮的形成,源于长期积累的安全弱点正以超出许多团队实际修复能力的速度被集中暴露。
怀特豪斯写道:"所有组织都存在'技术债务',即由于优先追求短期利益而非构建稳健产品所遗留下来的大量技术问题,这些问题既耗资巨大,又费时费力。"
他进一步指出:"人工智能在具备足够技术水平和专业知识的人员手中,已展现出在整个技术生态系统中大规模、高效率地利用这些技术债务的能力。"NCSC认为,随着这些弱点被批量发现和处理,行业将迎来一场"被迫纠偏"。
这一警告恰在各大厂商竞相推出相关工具之际发出。Anthropic的Claude Mythos和OpenAI的GPT-5.5-Cyber等模型承诺能在攻击者发现漏洞之前抢先定位并修复问题,然而同样的技术能力也在客观上降低了漏洞发现的门槛。
怀特豪斯写道:"我们预计将出现大量针对各级别漏洞的更新,其中不乏高危级别。"
NCSC呼吁各安全团队主动压缩暴露面,以应对即将到来的漏洞修复洪流。"所有组织必须尽快采取措施,识别并最小化其面向互联网及其他外部暴露的攻击面。"怀特豪斯同时建议,防御方应"优先处理网络边界上的技术资产,再逐步向内部推进"。
他还强调,仅靠打补丁还远远不够,那些已停止支持或处于生命周期末期的系统,可能需要彻底替换。
NCSC向各组织传递的核心信息是:"做好准备,更快、更频繁、更大规模地部署补丁。"现实情况是,大量修复将同步涌来,而留给团队的处理时间却将越来越少。
Q&A
Q1:NCSC所说的"补丁浪潮"具体指的是什么?
A:NCSC所说的"补丁浪潮"是指,随着AI技术被用于大规模、高速度地挖掘软件漏洞,过去长期隐藏的技术债务将被集中暴露,导致大量安全补丁在短时间内密集发布。各组织需要同时应对数量更多、级别更高的漏洞修复任务,而可用的响应时间却大幅压缩,这对安全团队的修复能力构成极大挑战。
Q2:AI在漏洞挖掘方面带来了哪些双重风险?
A:AI在漏洞挖掘领域具有明显的双面性。一方面,Anthropic的Claude Mythos、OpenAI的GPT-5.5-Cyber等工具可以帮助防御方在攻击者之前发现并修复漏洞;另一方面,同样的技术也大幅降低了攻击者发现漏洞的门槛,使得技术水平有限的人员也能利用AI大规模挖掘系统弱点,从而加剧了整体网络安全风险。
Q3:面对AI驱动的漏洞浪潮,组织应该如何应对?
A:NCSC给出了几项具体建议:首先,尽快识别并缩减面向互联网及外部暴露的攻击面;其次,优先处理网络边界上的技术资产,再逐步向内部推进;第三,做好快速、频繁、大规模部署补丁的准备;最后,对于已停止支持或处于生命周期末期的系统,仅打补丁已不足够,必要时需整体替换。
好文章,需要你的鼓励
海外博主做了一次 Siri AI、ChatGPT、Claude 横评。看完之后我最大的感受是,AI 助手的竞争已经不只是模型能力,而是谁离用户更近。
南京大学提出Light-Omni框架,通过全局状态与潜在状态双机制,让AI视频助理无需反复推理即可实现精准记忆检索,速度提升逾12倍,准确率同步提高。
Uber年度失物报告首次纳入无人驾驶出租车数据。过去一年,乘客在Uber平台的机器人出租车中遗留了数千件物品,包括手机、钥匙、钱包等常见物品,以及假牙、15磅溜溜球等奇特物件。乘客可通过App联系客服找回失物,支付15美元即可享受同城配送,或前往车辆停放站自取。Uber表示,将依托现有运营体系为自动驾驶业务提供全面支持,计划2025年底前在全球15座城市开通无人驾驶打车服务。
TREK方法通过引入外部验证解法对AI进行短期校准,解决了GRPO训练在困难题目上因无法探索正确解法区域而陷入瓶颈的问题,在数学推理和智能体任务上均取得明显提升。