
AI驱动利用正压垮漏洞管理
AI正在显著缩短漏洞从披露到被广泛利用的时间窗口,企业防御已从“按天”变成“按小时”应对。仅靠加快补丁速度已不足够,安全团队需要先预判高风险漏洞、快速验证自身暴露面,并通过临时缓解措施争取修复时间。
AI驱动的利用时间线正在迅速缩短,而且不会停止缩短。漏洞被发现、复现并武器化的速度,已经比企业安全史上任何时期都更快。因此,从漏洞披露到在互联网上观察到无差别利用之间的窗口,如今以小时计算,而不是以天计算。
行业给出的主要答案在很大程度上一直是:更快打补丁。
监管机构这样说,董事会这样期待,高管也这样要求。但对大多数企业而言,这并不是防御者可以按下的一个按钮。补丁修复是一项受控流程,受正常运行时间要求、稳定性测试、变更窗口、业务审批、合规义务以及生产系统不能以紧急为名被破坏这一现实所约束。
尽管补丁仍然至关重要,但仅靠补丁,甚至更快地打补丁,已经不再足以应对这种“新常态”和不断涌入的已披露漏洞。Anthropic 在 2026 年 5 月的 Project Glasswing 更新让这种失衡变得难以忽视。该公司表示,它与大约 50 个合作伙伴一起,使用 Claude Mythos Preview 在一个月内识别出超过 10,000 个高危或严重漏洞,覆盖系统性重要软件;与此同时,许多其他组织也报告了由 AI 驱动的内部工作取得了类似结果。
AI 正在将漏洞研究工业化,但不只是为了防御者或软件厂商。攻击者也在使用同样的工具,并享受同样的速度优势,来识别和复现漏洞,随后将其用于攻击目标组织。
那么,这对利用时间线和防御意味着什么?
瓶颈已经转移
利用时间线缩短了多年,这并不是什么秘密;近年来,漏洞披露后在野利用在个位数小时内出现并不罕见。有了 AI,大型组织从被告知“存在问题”到看到有人尝试利用它的时间窗口,只会继续压缩。
另一方面,修复和打补丁并没有跟上。Verizon 2026 DBIR 在这一点上说得很清楚:组织修补严重漏洞的中位时间同比上升,从 32 天增加到 43 天。
现实非常残酷:攻击者按小时计时,防御者按周计时。真正发生利用的,就是这段差距。
是的,漏洞更多了。是的,攻击者移动更快了。但对防御者而言,最困难的是修复速度并没有变快,而且也许不可能变得更快。告诉组织“只要更快打补丁”就像告诉别人“只要长高一点”。这听起来有帮助,也有善意,但这不是大多数团队可以简单决定做到的事。
此外,监管压力也在增加。印度 CERT-IN 最近发布了指南,针对某些严重漏洞提出了亚日级补丁期望。其意图很明确,但这忽视了运维现实。
更现实的观点是,一些漏洞会在完全修复之前就被盯上。安全团队需要围绕这一现实制定计划,同时不引入新的运营风险。这意味着需要快速回答几个问题:
我们是否使用这项技术?
这个漏洞只是理论上的,还是确实存在?
这个漏洞在我们的环境中是否可被利用?
一旦被利用,会是什么样子?
在正常补丁周期运行期间,哪些临时控制可以降低风险?
运行模式需要转向预判、验证和缓解。下面是做法。
第一步:预判攻击者最可能利用的漏洞
并非每一个已披露漏洞都有同等紧迫性。有些漏洞永远不会在现实世界中被利用。另一些则具备攻击者寻找的特征:部署范围广、可从互联网访问、可重复利用,并且能够清晰地通向目标环境中的有效访问。
在一个令人担忧但很近的未来里,我们可能每天都会看到数百甚至数千个漏洞披露,预判意味着识别哪些漏洞最有可能在野被利用,从而完成一定程度的筛选,让团队不必把关键时间浪费在调查一切上。严重程度仍然重要,但它从来不是全部。
在 AI 驱动的周期中,这种筛选必须在披露后的最初几小时内完成,而不是等团队看完整个清单之后。尽早缩小范围,才能让组织领先于利用窗口,而不是在事后被动反应。
第二步:快速应对新兴威胁并验证暴露面
一旦判断某个新兴威胁很可能或已经确认存在在野利用,防御者就需要能够迅速反应,并在攻击者动手之前验证组织自身的具体暴露面。
这意味着要把一次新的漏洞披露或利用活动,转化为一个与环境相关的答案:我们是否暴露?哪里暴露?受影响系统归谁负责?可利用性是否已经被证明?针对新兴威胁的现实快速响应,应识别跨业务单元、部门和子公司的互联网暴露系统,并结合相关威胁情报对漏洞进行上下文化。
随后,验证阶段会确认受漏洞影响的组件是否能被攻击者触达,以及在现实世界中是否可被利用。一个可能存在的漏洞会引发调查。但在在野利用速度如此之快的情况下,一个已验证、可被利用的漏洞现在就需要快速、自动化的行动。
团队越快做出这种区分,就越快能决定哪些需要缓解、哪些需要监控,以及哪些可以进入正常修复流程。
速度而没有准确性,只会变成恐慌;准确性而没有速度,则毫无意义。在应对新兴威胁时,这两者必须结合起来,并且必须在利用开始之前完成。
第三步:通过缓解争取有效修复时间
一旦暴露面得到验证,修复可能仍然需要测试、变更控制和协调部署。
缓解措施可以在这段时间里降低可利用性。对于互联网暴露系统,这些措施可能包括访问限制、禁用易受攻击的功能、WAF 或 API 规则、IDS 或 IPS 更新、隔离、配置更改、监控,或阻断利用模式的临时控制。有效的缓解措施还应参考利用方式来制定。基于 CVE 摘要的通用规则,弱于基于利用路径、载荷、所需条件和已知恶意行为构建的控制。这些控制不需要永久存在。它们的目标是让利用变得更慢、可靠性更低,并且更难扩展,同时让组织能够安全地打补丁。
自动化缓解缩小了攻击者速度与补丁速度之间的差距。它是唯一一种能够在与利用相同时间尺度上运行的控制。
这就是 watchTowr 的设计目标
watchTowr 平台通过压缩防御者时间线,使其与 AI 驱动的攻击时间线相匹配。该平台采用攻击者导向的方法,识别可被利用的弱点和漏洞;面对源源不断的新兴威胁,它持续帮助组织快速响应并缓解暴露面。
借助 AI 将主动威胁情报、外部攻击面管理和自动化缓解结合起来,watchTowr 平台提供清晰可见性:向团队展示攻击者能看到什么、能利用什么,以及在被攻破之前可以采取什么措施来缓解。
补丁修复仍然必要,而且绝对重要。但在 AI 驱动的利用世界里,仅靠补丁无法在确保可用性和避免中断的同时,以所需速度完成修复。watchTowr 平台是一种 AI 驱动的预防性暴露管理解决方案,可帮助组织预判攻击者、验证新兴威胁暴露面,并通过自动化缓解争取攻击者无法超越的唯一东西:响应时间。
如需安排演示并了解更多关于预防性暴露管理的信息,请访问 watchtowr.com。