CISA 要求美国机构在最短3天内修复安全漏洞，归因于AI威胁

# CISA 要求美国机构在短短3天内修复安全漏洞，AI威胁是主因 来源：https://www.wired.com/story/cisa-ai-vulnerability-directive/ 随着新一代AI模型（https://www.wired.com/story/anthropic-releases-claude-fable-5-mythos-5/）既加速了软件漏洞的快速发现（https://www.wired.com/story/mozilla-used-anthropics-mythos-to-find-271-bugs-in-firefox/），也提升了恶意黑客更快利用漏洞（https://www.wired.com/story/anthropics-mythos-will-force-a-cybersecurity-reckoning-just-not-the-one-you-think/）的可能性，美国网络安全和基础设施安全局（CISA）于周三发布了一项新指令（https://www.cisa.gov/news-events/directives/bod-26-04-prioritizing-security-updates-based-risk#Note9），要求联邦民事机构更快、更高效地修补软件漏洞。这份“具有约束力的操作指令”（BOD）根据四项紧急程度评估制定了一套规则，规定关键情况下漏洞修复时间仅为3天。 CISA网络安全代理执行助理主任Chris Butera周三对记者表示，该指令的目标是帮助机构确定优先级，以便首先处理最危险的漏洞，同时为风险不那么紧迫的漏洞留出更多修复时间。该指令发布之际，私营企业和政府机构正忙于评估AI漏洞发现与利用能力可能引发的网络安全变革程度。 “鉴于人工智能的进步，威胁行为者能够发现并利用联邦资产中的漏洞，因此将IT和安全运营的注意力优先放在风险最高的资产上尤为重要，”Butera周三表示。“防御者不能再花数周时间来修补那些可能被大规模自主利用的系统。” CISA指令评估补丁紧急程度的标准包括：漏洞是否存在于公开暴露的系统中；该漏洞是否被列入CISA的已知被利用漏洞目录（https://www.cisa.gov/known-exploited-vulnerabilities-catalog）；攻击者能否自动化完成利用该漏洞的所有步骤；以及漏洞被利用后攻击者能够获得多少对目标系统的访问权限。根据新指令，如果四个条件全部符合，必须在3天内完成修复，且机构还必须执行“取证分类”（https://www.cisa.gov/news-events/directives/bod-26-04-implementation-guidance-prioritizing-security-updates-based-risk）流程，以确定系统是否已被入侵。 该指令取代了CISA此前两项关于紧急漏洞补丁时限的指令——一份来自2019年（https://www.cisa.gov/news-events/directives/bod-19-02-vulnerability-remediation-requirements-internet-accessible-systems-revoked），另一份来自2021年（https://www.cisa.gov/news-events/directives/bod-22-01-reducing-significant-risk-known-exploited-vulnerabilities-revoked）。它们建立了一个框架，要求最关键的漏洞在发现后15天内修复，另一类高紧急度漏洞需在30天内解决。两项指令都鼓励在可能的情况下加快严重漏洞的修补。即使在AI时代之前，CISA在2021年就曾写道（https://www.cisa.gov/news-events/directives/bod-22-01-reducing-significant-risk-known-exploited-vulnerabilities-revoked），“威胁行为者利用其选中的漏洞速度极快：在已知被利用的漏洞中，有4%的漏洞在披露当天即被利用；50%在2天内；75%在28天内。” 过去十年间，美国联邦网络安全已显著改善，但由于资金短缺和优先级冲突，仍常常滞后。CISA的Butera表示，机构在制定新的评估规则和整个指令时，已考虑到这些局限性。他举例指出，最紧急漏洞的3天截止日期并非设定为24小时，因为如此短的时间框架对大多数机构来说不可行。 新的AI能力已在改变漏洞检测和漏洞狩猎的格局（https://www.wired.com/story/the-ai-era-is-creating-a-bug-hunting-arms-race/）。随着这促使补丁修复工作产生新的紧迫感，许多研究人员已开始得出结论：本质上，任何数量的补丁都不够——全球软件开发社区必须努力采用新的架构性或系统性方法，一次性消除整个类别的漏洞。 “CISA的指令初衷是好的，但它只解决了问题的一半，”云安全公司Edera的CEO Emily Long表示。“如果你的架构没有限制攻击者在突破后所能触及的范围，那你只是在同一台跑步机上跑得更快。补丁永远重要，但我们更应该讨论的是设计上的隔离。” CISA的Butera周三似乎承认了这一演变。新指令“是对抗新兴AI模型增强能力的第一步，”他说。“但仍需做更多工作。”