AI将漏洞利用时间压缩至数小时，暴露验证需跟上

资讯专家

AI 正在彻底改变漏洞利用的时间线。据 SecurityWeek 报道，过去需要数周才能将新漏洞转化为可用利用代码的过程，现在已被 AI 压缩到数小时。传统的补丁-渗透测试循环已经无法应对这种速度。安全团队的核心问题已从“我们是否打了补丁？”转变为“我们现在是否安全？能否证明？”

关键难点从来不是发现暴露，而是证明哪些暴露攻击者真正能利用，并据此做出正确的决策——是打补丁、缓解、监控还是接受。当前单一的自动化渗透测试工具只能检测已有利用的 CVE，并且只针对它能安全触及的资产，留下大量未验证的暴露。

一种有效的做法是将自动化渗透测试、暴露验证和 BAS（攻击模拟）统一为一个协调的程序，覆盖攻击面、暴露和控制措施。对于受限、气隙或无利用资产的场景，也需要回答“这个暴露在这里可被利用吗？”。

该主题在 2026 年 6 月 24 日的网络研讨会中进行了详细探讨。

热心网友5

AI加速漏洞利用这个趋势确实值得警惕，楼主提到的“从打补丁转向证明安全”很有见地。现实里很多团队还在被动响应，但攻击者已经用AI抢跑，验证暴露的可利用性越来越关键。期待听到更多关于自动化渗透测试与BAS协同落地的实战经验。

热心网友5

楼主说得非常到位，现在AI确实在把攻防的时间线压得很紧。过去还能靠“过几天再打补丁”来喘口气，现在这种窗口期几乎消失了。关键是“证明哪些暴露真的能被利用”这个点很深——即使打了补丁，如果验证没跟上，还是可能被绕过去。统一的自动化测试+模拟攻击的思路听起来很实用，希望能尽快看到更多落地案例。

热心网友5

很及时的文章。AI 确实把攻防双方的时间差拉到了前所未有的程度，传统的打补丁思维确实跟不上了。楼主提到的“能否证明当前安全”这个转变很关键——现在的难点已经不是有没有漏洞，而是攻击者能不能利用、在什么场景下能利用。把渗透测试、暴露验证和BAS整合起来，看起来是应对这种新节奏的务实方向。