前沿AI與漏洞修復(fù)日碰撞，網(wǎng)絡(luò)安全迎來"漏洞海嘯"

微軟于4月14日（周二）如期發(fā)布了本月例行漏洞修復(fù)更新，其中包含若干零日漏洞及關(guān)鍵補丁，供各安全團(tuán)隊仔細(xì)研究。這看起來一切如常。

然而，此次補丁星期二（Patch Tuesday）遠(yuǎn)比近期其他更新更為引人注目——從漏洞數(shù)量來看，這是史上規(guī)模第二大的更新，涵蓋超過160個獨立漏洞（2025年10月曾達(dá)175個），若將第三方及Chromium更新納入統(tǒng)計，總數(shù)接近250個。

輿論幾乎立即將矛頭指向了不可回避的人工智能（AI）話題。漏洞研究專家、TrendAI零日計劃旗下定期撰寫Patch Tuesday評論的Dustin Childs便是其中之一。他在其定期撰寫的分析報告中，將本次更新的規(guī)模形容為"驚人"，并進(jìn)一步指出，AI工具被大規(guī)模用于挖掘軟件漏洞，或許正是此次漏洞數(shù)量驟增背后的主要原因。

Ivanti產(chǎn)品管理副總裁Chris Goettl對此表示認(rèn)同。Ivanti近期剛對其Neurons補丁管理平臺進(jìn)行了重大升級。他解釋了此次事件的背景："Patch Tuesday前的動態(tài)頗為耐人尋味。4月1日，谷歌Chrome零日漏洞CVE-2026-5281被修復(fù)；4月10日（周五）臨近收工時，Adobe Acrobat Reader零日漏洞CVE-2026-34621被披露；多個早期CVE漏洞也于4月13日被列入美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）的KEV列表。這一切，都發(fā)生在業(yè)界對Anthropic Mythos和Project Glasswing高度關(guān)注的背景之下。"

Project Glasswing于4月初高調(diào)亮相，是Anthropic圍繞一款尚在開發(fā)中的前沿AI模型Claude Mythos Preview所推出的全新計劃。據(jù)Anthropic介紹，該模型不僅能夠發(fā)現(xiàn)零日漏洞，還能為其開發(fā)利用程序（exploit）。

關(guān)鍵漏洞威脅

Mythos的能力之強令人矚目——Anthropic聲稱已借此發(fā)現(xiàn)"數(shù)千個"關(guān)鍵漏洞，其中部分漏洞長期潛伏于代碼中，多年來一直未被察覺。正因如此，圍繞Mythos構(gòu)建的Project Glasswing項目應(yīng)運而生，旨在限制這一潛在危險模型的訪問權(quán)限，目前僅向特定科技公司開放，或至少讓這些公司在Mythos更大范圍對外開放之前搶先修復(fù)相關(guān)漏洞。

這些公司包括亞馬遜云科技（AWS）、蘋果、博通、思科、CrowdStrike、谷歌、微軟、英偉達(dá)和Palo Alto Networks。

Mythos與Project Glasswing本月初才剛剛公開，距此次Patch Tuesday更新發(fā)布僅有極短時間，難以對其產(chǎn)生實質(zhì)影響。VulnCheck對近期披露漏洞的分析也顯示，僅有75個漏洞提及Anthropic，直接歸因于Glasswing的漏洞只有1個。

因此，就目前而言，Mythos發(fā)布與Patch Tuesday漏洞數(shù)量激增之間的關(guān)聯(lián)，仍只是一種推測性假設(shè)。

形勢發(fā)展迅速

然而，局勢正在快速演變，相關(guān)討論刻不容緩。4月15日，英國商務(wù)大臣Liz Kendall在一封公開信中，已敦促英國企業(yè)領(lǐng)袖在前沿模型能力日益增強之際，"提前做好應(yīng)對規(guī)劃"。

Finite State政策主管、前CISA部門負(fù)責(zé)人兼白宮顧問Doc McConnell表示："Mythos所帶來的場景絕非常規(guī)情形。AI對于網(wǎng)絡(luò)安全而言，就像一把只進(jìn)不退的棘輪扳手——它只會讓一切變得更快。它既能幫助安全團(tuán)隊更迅速地響應(yīng)事件，也會同時放大事件的數(shù)量與嚴(yán)重程度。"

"誠然，基本原則依然適用——將安全融入產(chǎn)品生命周期、加快補丁修復(fù)節(jié)奏、確保網(wǎng)絡(luò)安全處于企業(yè)風(fēng)險管理和長期戰(zhàn)略的核心位置。但現(xiàn)在已經(jīng)發(fā)生了根本性轉(zhuǎn)變：傳統(tǒng)的'做好基礎(chǔ)、加快節(jié)奏'已經(jīng)不夠用了……無論技術(shù)團(tuán)隊多么精干，人類的速度根本無法跟上AI的步伐。"

McConnell對Anthropic及Project Glasswing團(tuán)隊的負(fù)責(zé)任做法予以肯定，但同時警告稱：如果Anthropic在公開、負(fù)責(zé)任地推進(jìn)相關(guān)工作，那就必須假定還有其他人正在悄然行事，且毫無顧忌。

Mythos將被如何使用

Ivanti的Goettl表示："圍繞Mythos的討論，大多聚焦于它將被如何使用及其連帶影響。在代碼發(fā)布前由編寫代碼的廠商借此發(fā)現(xiàn)可利用漏洞，這是一項極具價值的正向工具。然而，它同樣會被研究人員和威脅行為者用來發(fā)現(xiàn)已發(fā)布代碼中的漏洞，而這正是我所關(guān)注和推測的方向。"

Goettl進(jìn)一步分析了Mythos這類前沿模型可能帶來的連鎖影響。他認(rèn)為，在近期內(nèi)，大型科技公司將借助Mythos發(fā)布更安全的代碼；與此同時，無論是合規(guī)的安全研究人員還是威脅行為者，都將采用更強大的AI模型來識別可利用漏洞。

"這將帶來更多的協(xié)調(diào)披露——這是好事；更多的零日漏洞利用——這是壞事；以及更多的N日漏洞利用——這也是壞事。最終結(jié)果是更頻繁、更緊迫的軟件更新。"

"許多組織目前在處理計劃外發(fā)生的漏洞利用優(yōu)先更新時，就已經(jīng)捉襟見肘。以Adobe Acrobat零日漏洞為例，我懷疑大多數(shù)組織直到CISA將其加入KEV列表之后才意識到其存在……這意味著威脅行為者在大多數(shù)組織知情之前，已有兩到三天的時間隨意利用CVE-2026-34621漏洞。"

考慮到瀏覽器安全更新如今已是每周例行之事，而許多常用商業(yè)應(yīng)用程序的更新節(jié)奏也是持續(xù)發(fā)布而非固定月度安排，不難預(yù)見：未來相當(dāng)數(shù)量的漏洞利用將會讓企業(yè)的維護(hù)計劃形同虛設(shè)，且這種情況將頻繁發(fā)生。盡管漏洞數(shù)量究竟會翻倍、翻三倍還是翻四倍，目前無法確定，但可以合理預(yù)判，增幅將十分顯著，并將進(jìn)一步加劇安全領(lǐng)導(dǎo)者在補丁管理上已經(jīng)面臨的挑戰(zhàn)。

下一步該怎么做

解決方案是什么？Goettl認(rèn)為，安全領(lǐng)導(dǎo)者需要在思維方式和成熟度上實現(xiàn)跨越式轉(zhuǎn)變，明確界定自身的風(fēng)險承受能力與風(fēng)險立場——若執(zhí)行得當(dāng)，將使修復(fù)工作的優(yōu)先級判斷更加清晰明了。

與此同時，他主張推進(jìn)技術(shù)層面的演進(jìn)：將傳統(tǒng)漏洞評估與情報服務(wù)更好地整合到更廣泛的生態(tài)系統(tǒng)中，與資產(chǎn)可視化或記錄系統(tǒng)有機(jī)結(jié)合。這種混合方法有助于優(yōu)化判斷流程，區(qū)分哪些漏洞需要立即處置、哪些可以等待常規(guī)維護(hù)周期。Goettl還補充指出，該技術(shù)棧應(yīng)與自主端點管理（AEM）平臺集成，以加快修復(fù)速度。

與此同時，F(xiàn)inite State的McConnell也為業(yè)界提出了三項行動建議。

"安全必須前移至產(chǎn)品生命周期的最初階段，"他說，"如果你要等到CVE漏洞披露之后才去判斷產(chǎn)品是否受影響，那你已經(jīng)落后了。二進(jìn)制分析與軟件成分分析必須從設(shè)計和開發(fā)的最初階段就持續(xù)進(jìn)行，而不是等到功能確定、發(fā)布日期排定后才作為'最終檢查'補充進(jìn)來。"

"其次，即便企業(yè)借助AI加速產(chǎn)品開發(fā)，安全工作也必須與產(chǎn)品開發(fā)保持同步。這意味著需要實時維護(hù)軟件物料清單（SBOM），并對新出現(xiàn)的漏洞進(jìn)行自動化可達(dá)性分析，從而可以有把握地對最關(guān)鍵的修復(fù)項目進(jìn)行優(yōu)先排序。"

"最后，企業(yè)必須認(rèn)清：即便在能力較強的安全環(huán)境中，安全事件仍然會發(fā)生，"McConnell說，"一旦發(fā)生，防御者必須與攻擊者的速度相匹敵。這意味著需要具備自動化的漏洞與事件響應(yīng)能力，能夠在整個產(chǎn)品組合范圍內(nèi)完成分診、溝通協(xié)調(diào)與修復(fù)推進(jìn)，而無需在每一個環(huán)節(jié)都依賴人工介入。"

"企業(yè)必須立即行動：在下一次董事會會議上將其列為首要議題。如果目前尚不具備這種能力，就與具備該能力的公司展開合作。"

前沿AI能否為網(wǎng)絡(luò)安全帶來正向價值

Mythos等前沿模型在漏洞挖掘能力上的飛躍，最終能否為網(wǎng)絡(luò)安全帶來實質(zhì)性利好？英國國家網(wǎng)絡(luò)安全中心（NCSC）首席執(zhí)行官Richard Horne似乎對此持積極態(tài)度。

在一篇首發(fā)于《金融時報》的文章中，Horne表示，業(yè)界有望借助AI以恰當(dāng)?shù)姆绞桨l(fā)現(xiàn)并修復(fù)漏洞，但前路風(fēng)險重重。

"短期內(nèi)，我們將越來越頻繁地看到AI將那些未能采取適當(dāng)措施保障網(wǎng)絡(luò)安全的組織暴露出來，"Horne說，"AI將使攻擊者更容易、更快速、更低成本地發(fā)現(xiàn)和利用那些原本需要投入更多時間、技能和資源才能識別的薄弱環(huán)節(jié)。組織快速修復(fù)系統(tǒng)漏洞的壓力也將只增不減。"

"正因如此，組織確保遵循NCSC所制定的成熟最佳實踐、提升自身安全基線，比以往任何時候都更為迫切。"

在Horne看來，這包括減少"不必要的"攻擊暴露面、快速應(yīng)用安全更新，以及對惡意活動的監(jiān)測與響應(yīng)。他強調(diào)，這些技術(shù)舉措必須獲得各組織領(lǐng)導(dǎo)層和董事會成員的有力支持，方能產(chǎn)生切實成效。網(wǎng)絡(luò)安全風(fēng)險，就是企業(yè)經(jīng)營風(fēng)險。

"在我國社會應(yīng)對這些快速演變能力的過程中，NCSC將堅守保護(hù)英國免受網(wǎng)絡(luò)威脅的使命，與業(yè)界及政府各部門攜手合作，持續(xù)就相關(guān)風(fēng)險與機(jī)遇提供指導(dǎo)建議，"Horne說，"通過夯實基礎(chǔ)、審慎采用前沿AI模型的正向能力，網(wǎng)絡(luò)防御者可以保持優(yōu)勢，助力英國在網(wǎng)絡(luò)空間的安全。"

Q&A

Q1：Project Glasswing是什么？為什么要限制Claude Mythos的訪問權(quán)限？

A：Project Glasswing是Anthropic圍繞前沿AI模型Claude Mythos Preview推出的一項計劃。由于Mythos能夠發(fā)現(xiàn)大量關(guān)鍵漏洞并開發(fā)相應(yīng)利用程序，其潛在風(fēng)險極高，因此Anthropic專門建立了Project Glasswing框架，將模型訪問權(quán)限限定在AWS、蘋果、微軟等特定科技公司范圍內(nèi)，確保這些公司能在模型更大范圍開放之前優(yōu)先完成漏洞修復(fù)。

Q2：AI工具的普及會讓補丁管理變得更難嗎？

A：是的，難度將顯著上升。隨著AI模型被安全研究人員和威脅行為者廣泛用于漏洞挖掘，漏洞披露數(shù)量和緊迫性都將提升，企業(yè)現(xiàn)有的月度補丁維護(hù)計劃將越來越難以應(yīng)對。例如，Adobe Acrobat零日漏洞在被列入CISA KEV列表之前，已給威脅行為者留出了數(shù)天的可乘之機(jī)，這一情況在未來將更加普遍。

Q3：面對AI驅(qū)動的漏洞威脅，企業(yè)應(yīng)該采取哪些應(yīng)對措施？

A：專家建議從三個方面入手：一是將安全工作前移至產(chǎn)品設(shè)計和開發(fā)的最初階段，持續(xù)開展二進(jìn)制分析與軟件成分分析；二是實時維護(hù)軟件物料清單（SBOM），對新漏洞進(jìn)行自動化可達(dá)性分析，優(yōu)先修復(fù)最關(guān)鍵問題；三是建立自動化的漏洞與事件響應(yīng)能力，減少對人工介入的依賴，確保防御速度能夠跟上攻擊速度。