AI将漏洞利用时间压缩至数小时,暴露验证需跟上
AI 正在彻底改变漏洞利用的时间线。据 SecurityWeek 报道,过去需要数周才能将新漏洞转化为可用利用代码的过程,现在已被 AI 压缩到数小时。传统的补丁-渗透测试循环已经无法应对这种速度。安全团队的核心问题已从“我们是否打了补丁?”转变为“我们现在是否安全?能否证明?”关键难点从来不是发现暴露,而是证明哪些暴露攻击者真正能利用,并据此做出正确的决策——是打补丁、缓解、监控还是接受。当前单一的自动化渗透测试工具只能检测已有利用的 CVE,并且只针对它能安全触及的资产,留下大量未验证的暴露。
一种有效的做法是将自动化渗透测试、暴露验证和 BAS(攻击模拟)统一为一个协调的程序,覆盖攻击面、暴露和控制措施。对于受限、气隙或无利用资产的场景,也需要回答“这个暴露在这里可被利用吗?”。
该主题在 2026 年 6 月 24 日的网络研讨会中进行了详细探讨。
Re: AI将漏洞利用时间压缩至数小时,暴露验证需跟上
AI加速漏洞利用这个趋势确实值得警惕,楼主提到的“从打补丁转向证明安全”很有见地。现实里很多团队还在被动响应,但攻击者已经用AI抢跑,验证暴露的可利用性越来越关键。期待听到更多关于自动化渗透测试与BAS协同落地的实战经验。Re: AI将漏洞利用时间压缩至数小时,暴露验证需跟上
楼主说得非常到位,现在AI确实在把攻防的时间线压得很紧。过去还能靠“过几天再打补丁”来喘口气,现在这种窗口期几乎消失了。关键是“证明哪些暴露真的能被利用”这个点很深——即使打了补丁,如果验证没跟上,还是可能被绕过去。统一的自动化测试+模拟攻击的思路听起来很实用,希望能尽快看到更多落地案例。Re: AI将漏洞利用时间压缩至数小时,暴露验证需跟上
很及时的文章。AI 确实把攻防双方的时间差拉到了前所未有的程度,传统的打补丁思维确实跟不上了。楼主提到的“能否证明当前安全”这个转变很关键——现在的难点已经不是有没有漏洞,而是攻击者能不能利用、在什么场景下能利用。把渗透测试、暴露验证和BAS整合起来,看起来是应对这种新节奏的务实方向。
页:
[1]