传统企业补丁管理模式已难以为继

随着微软在6月发布有史以来规模最大的补丁星期二更新，加之业界持续热议AI与Anthropic旗下Claude Mythos模型的影响，美国自主补丁管理与端点保护领域的专业机构Action1发布了最新分析报告，警告称漏洞数量的快速增长与安全格局的结构性变化，正在让传统的定期企业补丁修复策略愈发力不从心。

Action1发布的《2026年软件漏洞评级报告》显示，2025年（远早于Claude Mythos问世之前），全年披露的漏洞总量与2024年相比激增92%，其中严重漏洞与权限提升（EoP）漏洞数量翻了一番，远程代码执行（RCE）漏洞数量更是上涨近130%。

Action1 指出，简而言之，增速最快的恰恰是那些最容易将企业暴露于真实攻击面前的漏洞类型，包括网络入侵、数据泄露及其他各类安全事故。

报告将上述趋势定性为对企业安全领导者发出的"警示信号"，同时指出威胁态势正在发生更深层的转变——攻击者正以远超人工安全团队修复速度的节奏，快速利用新披露的漏洞，在某些情况下，留给企业的响应窗口已压缩至数小时以内。

Action1漏洞研究总监杰克·比瑟表示："2025年是网络安全运营的一个重要转折点。攻击者正在借助AI与自动化手段，以大多数企业难以跟上的速度加速漏洞发现与利用。许多企业仍在按照人工排期打补丁，而攻击者已在以机器的速度运转。"

Action1联合创始人兼首席执行官亚历克斯·沃夫克补充道："威胁态势已不仅仅是体量更大的问题，它变得更快、更自动化、更难被察觉。补丁修复速度不再只是IT层面的指标，它已经成为衡量企业业务韧性的核心标准。"

报告指出，那些依赖人工补丁流程、扫描周期不频繁或维护窗口滞后的企业，在运营层面正面临日益严峻的落差。

Action1 强调，当前迫切需要建立持续性的漏洞管理与修复工作流，以有效压缩高频攻击目标的暴露窗口，涵盖业务应用程序、网络基础设施、操作系统及安全工具等各类关键资产。

报告作者写道："2025年的威胁环境在规模和速度上已清楚表明，任何仍依赖人工排期和手动部署的流程都将跟不上形势。自动化不仅仅是提升效率的手段，它已成为企业生存的必要条件。"

漏洞识别与补丁修复的下一步行动

该报告包含多项针对安全领导者的行动建议。

作为首要任务，Action1建议首席信息安全官（CISO）和安全领导者立即审计业务关键软件的补丁修复速度。出于避免影响用户使用的考虑而推迟业务应用及其他平台的补丁修复，如今已成为一项可量化的业务风险。补丁管理策略必须以威胁环境为导向，而不是迁就财务、人事或销售团队的便利性需求。

在此基础上，最紧迫的优先事项是推动漏洞管理的自动化转型。这一点对于处理敏感数据的机构尤为关键，例如教育和医疗机构，以及公共事业和电力供应商等关键服务运营商。

对于上述机构而言，能够自动部署紧急更新、无需等待维护窗口，应当成为标准运营模式。此外，自动化还应进一步延伸至补丁测试、验证与部署的全流程。

首席信息安全官应基于组织自身的风险状况对漏洞进行优先级排序，综合利用通用漏洞评分系统（CVSS）评级和已知漏洞利用情况等权威指标，并将威胁情报整合其中。与此同时，应将按严重程度分级的平均修复时间（MTTR）设定为核心考核基准。

不过，低风险漏洞并非就此可以忽视。报告指出，安全领导者还需更新漏洞优先级评估模型，将攻击链场景纳入考量——攻击者可能将多个低危漏洞组合利用，形成危害更大的攻击，进而实现权限提升或横向移动。Action1 建议重新审视针对低危漏洞的补丁服务等级协议（SLA），评估现行修复时间表是否依然适用。

Q&A

Q1：2025年企业面临的漏洞威胁形势究竟有多严峻？

A：根据Action1《2026年软件漏洞评级报告》，2025年全年披露的漏洞总量与2024年相比激增92%，严重漏洞与权限提升漏洞数量翻倍，远程代码执行漏洞增幅更接近130%。增速最快的恰恰是最容易造成实际攻击后果的漏洞类型，攻击者已能在数小时内完成漏洞利用，而传统的人工修复流程远远无法匹配这一速度。

Q2：为什么传统的定期补丁管理策略已经失效？

A：传统补丁策略依赖人工排期和固定维护窗口，在漏洞数量和攻击速度双双大幅提升的背景下，这种模式已明显滞后。攻击者借助AI与自动化工具能够迅速利用新披露的漏洞，而等待人工审批和维护窗口的修复流程往往需要数天甚至数周，这期间企业始终处于暴露状态，面临极高的安全风险。

Q3：Action1建议企业如何应对当前的漏洞修复挑战？

A：Action1建议企业从以下几个方面入手：首先审计业务关键软件的实际修复速度；其次推动漏洞管理全流程自动化，包括测试、验证与部署；同时整合威胁情报，基于CVSS评分和已知漏洞利用情况进行风险优先级排序；此外还需将平均修复时间（MTTR）设为核心考核指标，并重新评估低危漏洞的修复时限安排。