AI 加速零日漏洞武器化:攻防時間恐從 1 天縮短到 1 分鐘,資安危機從「找不到」變「漏洞修不完」
AI 輔助工具正以前所未有的速度加快發現與利用漏洞的進程。《Tom’s Hardware》報導,資安產業過去習慣的 90 天漏洞揭露期,正因 AI 加速攻防而面臨失效危機。近日,由 Sysdig 的 Sergej Epp 所建立、並獲多數科技與資安大廠支持的 Zero-Day Clock(ZDC)網站,就用清晰的數據與圖表點出歷年來資安鬆散所造成的嚴重後果,更在特定頁面中詳細記錄電腦安全崩潰的縮時過程。
ZDC 的資訊顯示,漏洞從被發現到被利用的平均時間,已從 2021 年的將近一年,大幅縮短至 2026 年的一天多。ZDC 甚至預測,2027 年將進一步壓縮到一小時,最終可能僅剩一分鐘。同時,在正式揭露前就已被惡意行為者利用的「零日漏洞」比例,也從五年前的 31% 飆升至目前的 73.2%。更糟的是,超過六週後仍未被利用的漏洞比例已降至 0%,這代表目前幾乎沒有漏洞能倖免。
然而,《Tom’s Hardware》也提醒,ZDC 其實只追蹤已公開揭露的漏洞利用,私人或國家層級的漏洞利用可能更早發生,因此這些驚人的數字恐怕只是冰山一角。
ZDC 的呼籲:企業資安不能只靠補丁,必須重設軟體與系統設計
面對急遽縮短的修補時間,ZDC 提出多項從技術到政策面的根本性改革建議。在技術與架構上,ZDC 建議所有硬體、軟體、框架與平台都應預設啟用安全功能,並盡可能採用零信任架構。由於高達 70% 的漏洞源於記憶體安全問題,ZDC 也呼籲以 Rust 這一類記憶體安全語言來取代 C 或 C++。
此外,系統應預設為「可拋棄式設計(disposable by default)」,確保受攻擊的機器能輕易還原;同時,應提供防禦者免費且開源的 AI 驅動工具,例如開源版 Mythos,以全面掌握系統、原始碼與日誌,抗衡攻擊者因 AI 被放大的能力。
在產業責任與法規面,ZDC 提出更具挑戰性的主張:軟體開發商必須為安全漏洞造成的損害承擔責任。《Tom’s Hardware》引用資安專家 Bruce Schneier 的觀點指出:「過去 150 年來,所有產業都是在政府強制要求下提升安全性或可靠性。」他也強調,不安全且技術上不完善的產品,只要能搶先上市或更容易使用,往往每次都能勝過技術更成熟的競爭對手。
因此,ZDC 主張將軟體安全提升至地緣政治優先事項與公共關注議題,並投入相應資金。同時,也必須將資安研究人員納入立法過程,避免不了解技術的監管者制定出如歐盟「Stop the Clock」這類立意良善卻考量不足的法案,因為這類法規可能拖慢防禦方的反應速度,但網路攻擊者根本不會遵守法律與準則,只會加速他們的攻擊行動。
問題不是 AI 讓駭客無敵,而是企業消化不了漏洞數量
不過,ZDC 所描繪的倒數攻防,並不等於 AI 已讓駭客取得壓倒性優勢。《Reuters》近期報導提供更務實的判讀:Anthropic Mythos 這類模型確實提升漏洞發現能力,但真正被放大的,是防禦方原本就不足的漏洞處理能力。
在 Anthropic 發布 Mythos 模型一個月後,外界早期擔憂它會大幅加速駭客攻擊的恐慌,看起來有被誇大的成分。有資安專家受訪時表示,Mythos 確實提升漏洞發現能力,但並不代表惡意行為者能立即取得過去無法做到的能力。前聯邦調查局(FBI)資安高階官員 Cynthia Kaiser 也點出盲點:「我們的對手即使沒有 AI 也已經非常厲害,許多勒索軟體攻擊在不到一小時內就會發生,目前大多數的威脅根本還不需要依賴 AI。」
就像一位具豐富漏洞研究經驗的人士指出:「數個月甚至數年來,我們已經能夠利用 AI 找到多到我們不知道該如何處理的漏洞。」 因此,當前的真正挑戰並非「發現漏洞」,而是如何在不破壞系統的前提下,快速驗證、排序並安全地完成修補。Cisco 資安與信任長 Anthony Grieco 也向《Reuters》表示,Mythos 的新能力與優勢在於能更快掃描大量程式碼中的漏洞並協助降低誤報率,這反而能協助經驗豐富的防守者更精準地聚焦在最迫切的資安風險上。
當 AI 正把零日漏洞攻防推向倒數計時時代,企業已不能再假設自己有數月時間能慢慢等待揭露、排程與修補,未來企業資安的解方不再只是單純的「修補更快」,而是必須從預設安全功能、零信任架構、記憶體安全語言、可拋棄式系統設計,一路延伸至軟體責任與立法流程的全面重設。在漏洞爆量的 AI 時代,企業能否在極短時間內完成漏洞的驗證、排序與安全修補,將成為企業資安韌性的關鍵。
【推薦閱讀】
◆ GitHub 爆「Megalodon」供應鏈攻擊!惡意自動化提交 6 小時內植入逾 5,500 個儲存庫
◆ 6 成受訪企業找不到懂 AI 的資安人才,資安主管年薪飆至 800 萬美元不罕見
◆ GitHub、OpenAI 都遭滲透:解析 TeamPCP 的供應鏈飛輪攻擊
*本文開放合作夥伴轉載,資料來源:《Tom’s Hardware》、《Reuters》,首圖來源:Unsplash