請更新您的瀏覽器

您使用的瀏覽器版本較舊,已不再受支援。建議您更新瀏覽器版本,以獲得最佳使用體驗。

思想坦克》學習美國資安關鍵漏洞的管理及修補義務 強化我國資安管理機制

信傳媒

更新於 06月28日10:38 • 發布於 06月29日02:00 • 王仁甫
6月12日美國商務部就以國家安全為理由,發布AI技術出口管制指令,使Anthropic宣布暫停提供Fable 5與Mythos 5模型存。(圖片來源/ AMAZON News官方頻道)

隨著AI挖掘漏洞的技術快速進步,雖能讓軟體更快的發現與修補漏洞,然也凸顯當黑帽駭客使用新的AI技術執行挖掘漏洞及入侵,所產生的威脅,將非常巨大;早在約兩個月前(2026年4月15日)美國國家標準暨技術研究院(National Institute of Standards and Technology, NIST)就指出,2020年至2025年通用漏洞揭露(Common Vulnerabilities and Exposures, CVE)的數量驟增2.63倍 ,就預告將調整漏洞資料庫(National Vulnerability Database, NVD)的運作模式,不再對所有漏洞進行完整分析及評分,而改用風險評鑑機制,僅針對已被利用或關鍵系統相關漏洞進行分析。
其實,早在上個月(5月)Anthropic發布於1個月內,發現超過1萬個高風險漏洞;接著,今(2026)年6月12日美國商務部就以國家安全為理由,發布AI技術出口管制指令,使Anthropic宣布暫停提供Fable 5與Mythos 5模型存取,據媒體報導 此限制或許與Mythos參與美國國安部門挖掘高風險漏洞及紅隊測試結果有關。
由此可知,AI挖掘資安關鍵漏洞所帶來的威脅,恐嚴重衝擊資安韌性,也讓美國政府改變管理漏洞的機制,例如2026年6月10日美國國土安全部發布BOD 26-04指令,以風險為基礎更新漏洞處理優先順序,將AI可使用遭利用漏洞 (Known Exploited Vulnerabilities, KEV)執行自動化攻擊的部分,賦予美國相關政府單位須於3天內檢查及修補漏洞之責任,值得我國數位發展部做為他山之石,調整漏洞管理及修補政策。
近一年來AI科技發展加劇資安漏洞威脅
根據近幾年筆者實驗室對於漏洞資料庫的研究,發現今上半年(截至2026年6月27日)CVE漏洞成長率較去年同期成長45.48%,增加至35,812個,其中高風險漏洞(CVSS>7)的比率約較上年同期增加11.88個百分點至49%;其中,已知屬最高風險且遭利用漏洞 (Known Exploited Vulnerabilities, KEV)則大幅增加145個(約較上半年成長29.5%),顯見隨AI挖掘漏洞技術的進步,使得高風險漏洞通報數也大幅增加(詳見下表)。

其中,若觀察2026年上半年CWE弱點成長率較去年之排名變化,可以了解增加幅度最大為1.9倍的CWE-918弱點,是關於伺服器端請求偽造(Server-Side Request Forgery, SSRF)之相關漏洞;主因AI能跨越各種資料流動,追蹤「使用者可控制的 URL、主機名稱或 IP,是否流入伺服器的連線函式」,例如能找出所有可發起 HTTP、DNS或雲端等API 請求的程式路徑,進而較完整分析漏洞。
其次,為CWE-20 弱點為輸入驗證不當(Improper Input Validation)成長約有1.64倍,主因AI 特別善於產生人類不易窮舉的異常輸入,而能挖掘更多漏洞。
美國CISA強化KEV漏洞修補的義務
由前文可知,漏洞的挖掘速度隨AI科技快速提升,已大幅威脅關鍵設施系統安全,使得美國國土安全部(DHS) 「網路安全暨基礎設施安全局」(Cybersecurity and Infrastructure Security Agency, CISA)陸續發布重要漏洞通報、風險、偵測及修補等重要合規操作指引(Binding Operational Directive, BOD):
(1) BOD 19-02:要求聯邦機關修補網際網路可存取系統中關鍵(Critical)與高(High)風險漏洞;(已撤銷,由 BOD 26-04 取代)
(2) BOD 20-01:要求建立漏洞揭露政策(Vulnerability Disclosure Policy, VDP)並授權善意資安研究及通報義務;
(3) BOD 22-01:建立已知遭利用漏洞目錄(Known Exploited Vulnerabilities, KEV)及修補義務;(已撤銷,由 BOD 26-04 取代)
(4) BOD 23-01:強化聯邦網路資產可見性與漏洞偵測能力;
(5) BOD 26-04:以風險為基礎更新漏洞處理優先順序 。
其中,本年(2026年6月)10日美國國土安全部發布BOD 26-04:「基於風險決定漏洞更新的安全優先等級指令(Binding Operational Directive, BOD)」,撤銷及取代BOD 22-01指令:「從降低已知漏洞被利用的重大風險」,最為重要。
換句話說,CISA的漏洞管理政策從過往的通用漏洞評分析系統(Common Vulnerability Scoring System, CVSS),除了轉向可利用性的衝擊評估外,更以此指令,建立漏洞修補的強制性。
亦即BOD 26-04指令是於KEV目錄基礎上,確定高風險漏洞的優先順序,要求相關政府部門執行修補作業(詳見下圖),須考慮以下步驟,決定漏洞鑑識分級(Forensic triage)及修補時間:
(1) 資訊資產的資安風險暴露:該易受攻擊的資產是否已有公開暴露的風險(例如有攻擊腳本或案例)?
(2) 屬於KEV 漏洞:該漏洞是否已發布通用漏洞及揭露識別碼 (CVE ID),並被 CISA 列入KEV漏洞目錄?
(3) 利用漏洞可自動化:攻擊者是否能夠自動化利用漏洞所需的完整步驟?
(4) 技術影響:攻擊者利用漏洞後,能否取得易受攻擊資產的部分控制權限,或完全控制權限?
安全優先等級」

其中,根據上述衡量標準,簡要分為3天到60天修補義務(詳見下圖):

圖 1 美國國土安全部發布BOD 26-04:「基於風險決定漏洞更新的安全優先等級」

1. 高風險漏洞,須完成3天修補義務,且須分析是否有遭受入侵,及提出應變措施:意謂著當漏洞能實現自動化攻擊就屬高風險。
(1) AI可利用KEV漏洞執行自動化攻擊:且能完整或部分實現攻擊腳本,則根據漏洞鑑識分級(Forensic triage)修補時間為3天。
(2) 漏洞被列入KEV,但未達能自動化攻擊:能人工完整實現攻擊腳本,則根據漏洞鑑識分級(Forensic triage)修補時間為3天。
2. 中風險漏洞修補義務為14天:
(1) 漏洞被列入KEV,雖未達能自動化攻擊,卻能人工完成部分攻擊腳本。
(2) 漏洞未列入KEV,雖未達能自動化攻擊,卻能人工完成所有攻擊腳本。
3. CISA也強調到2026年12月7日,各機構必須按照此指令的規定完成評估和修復漏洞。
就在此指令發布後,CISA 就發布最高嚴重性漏洞 CVE-2026-10520,且將此漏洞納入KEV 目錄,並設定了三天的修復期限 ,凸顯執行指令的決心。
後續(2026年6月22日),美國白宮發布《確保國家免受高級密碼攻擊之行政命令》(Executive Order 14412) 除闡述聯邦政府相關資訊系統過渡後量子密碼 (PQC)的規範外,更於第六條採購條款中,要求命令發布日起270天內,聯邦採購條例委員會應與國土安全部長(包含CISA)及NIST局長協商,修訂聯邦採購條例的漏洞管理計畫,並要求承包商須納入契約。

圖2 資料來源: https://www.cisa.gov/news-events/directives/bod-26-04-prioritizing-security-updates-based-risk

我國漏洞通報及修補機制應參酌美國政策修訂
我國數發部依照資安管理法,及資通安全責任等級分級辦法所規定資通安全弱點管理應辦事項,推動政府關鍵基礎設施使用資通安全弱點通報系統(Vulnerability Analysis and Notice System , VANS),進行蒐集各機關(構)所使用之軟硬體資產之漏洞,進而與國際漏洞或弱點資料庫比對,建立漏洞分享、分析及應變處理機制,再利用資安弱掃、滲透、健檢及稽核機制,採取靜態的方式建立政府關鍵基礎設施的漏洞管理與應變執行策略。
不過,隨著近一年來AI科技發展,已爆炸性加劇資安漏洞的威脅,建議我國政府參考美國要求控制高風險漏洞修補責任、漏洞揭露與測試模式、KEV強制修補指引、強化資產漏洞檢測能力及強化關鍵漏洞修補的義務。
同時,我國也應根據美國所發布高風險KEV漏洞,建立動態評估機制,包含建立完成3天修補KEV漏洞的方法及指引,且訓練機關建立高風險KEV漏洞遭受入侵的評估機制,及提出應變措施,以強化我國的資安防護韌性。

作者:王仁甫

元智大學資管系 專任助理教授、兼任台灣駭客協會理事

延伸閱讀

查看原始文章

更多國內相關文章

01

生死瞬間!巴威颱風強風襲新北 三重巨型銀行招牌險砸公車畫面曝

三立新聞網
02

驚悚割喉!23歲女行員下班遭垂落電纜「死勒脖子」 慘拋飛骨折

三立新聞網
03

警大實習生降臨高雄!超仙女警、天菜帥哥正面曝光 全網暴動:想被開單

三立新聞網
04

偽造罷免連署全認了!藍台南黨部副主委莊占魁等11人一審判決出爐

鏡報
05

她稱「屋內有蛇」不租了!鄰居見「禮儀車」驚悚真相曝

民視新聞網
06

按摩店同事涉性交易!3員工「樓上休息」挨罰 結局曝光

EBC 東森新聞
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...