新AI让漏洞检出量激增,美放弃对缺陷全面分析
 |
美国政府机构已停止对全球主要软件相关漏洞进行全面分析与评估。这反映出随着美国新兴企业Anthropic推出的“Mythos”等先进AI问世,软件漏洞检出数量激增,分析工作已难以及时跟进。
负责漏洞分析与评估的美国国家标准与技术研究院(NIST)表示,今后将把漏洞分析对象限定在紧急性较高的案件。这意味着将改变此前对来自全球企业和研究人员报告的所有漏洞全部进行评估的方针。对日本企业而言,也可能成为所使用软件漏洞修复延迟的原因。
背景在于AI的进化。自2025年前后起,AI在漏洞检测方面的精度显著提升。NIST解释称,“已无法应对不断增加的报告数量”。NIST掌握的漏洞数量在2025年超过4万9000个,达到2020年的2.6倍。即便检测出漏洞,分析与修复也难以及时跟进。
推动漏洞检出激增趋势进一步加速的是Anthropic于4月7日试验性发布的新模型“Mythos”。据称,Mythos模型发现了数千项未知漏洞。该模型未对公众开放,仅允许美国大型科技企业以防御其服务为目的加以使用。
日本立命馆大学教授上原哲太郎表示:“由AI导致的漏洞激增以及修复跟不上的问题已在整个行业显现。Mythos成为决定性因素。”此外,OpenAI也于4月14日发布了提升漏洞发现与修复能力的新模型。
NIST此前对于报告的漏洞,依据需要修复的严重程度采用满分10分进行评估。今后将仅对与美国政府直接相关等紧急性较高的案件进行评估。
若NIST未能识别出重要漏洞,关键修复可能延迟,系统处于易受网络攻击的高风险状态的时间可能延长。
NIST对漏洞的重要性评估,也为日本企业安全负责人提供了判断应优先应对哪些漏洞的依据,影响较大。在日本方面,信息处理推进机构(IPA)等也发布漏洞分析,但主要集中在日本国内软件。
自Mythos问世以来,已有观点指出,若AI检测出的漏洞被网络攻击者利用,可能对金融系统及关键基础设施构成威胁。尽管如此,通过限定公开等方式对AI进行适当管理,仍被认为有助于推动修复已检测出的漏洞。
此次NIST转变方针,使得即便AI检测到的漏洞数量增加,人类难以及时跟进应对的风险进一步明确。
漏洞处置需在审慎评估是否会对信息系统造成故障等影响的前提下推进。对于人力和预算有限的企业而言,即便AI报告的漏洞数量增加,也未必能够全部修复。
目前也在推进利用AI进行漏洞修复的尝试,但是否会影响与其他软件的联动等问题,最终仍需由人工负责审慎核查。
包括Google高管在内的安全行业专家联合发布了关于Mythos的分析报告,预测称漏洞的应对需求将“如洪水般涌现”。报告以“漏洞风暴”为题,警示防御方的应对能力尚未跟上AI的发展。
随着漏洞检测进一步增加,未来企业需自行设定优先级,甄别紧急性较高的漏洞,而非对所有漏洞逐一应对。软银的首席安全研究员辻伸弘指出:“机械地逐项应对会消耗人力资源,可能导致对紧急性较高的案件反应滞后,从而引发损失。”
若连AI检测出的轻微漏洞也全部修复,反而可能延误对重要问题的处理,产生反效果。随着AI的高度发展,网络防御的理念也在发生变化。