Qualys 講師姚天朗以 AI 如何改變漏洞攻防為題,分享在生成式 AI 加速漏洞挖掘的趨勢下,企業如何透過持續威脅曝險管理框架,為資產與漏洞排定優先順序並完成補救。
AI 加速漏洞挖掘,曝險窗口成為攻防關鍵
歷年 CVE 數量暴增,但武器化漏洞僅約 0.74%,不到 1% 才是真實威脅。
姚天朗指出,2026 年 4 月,Anthropic 發表最先進的 AI 模型 Claude Mythos,能辨識並利用軟體中的新漏洞,且其所發現的漏洞超過 99% 尚未被修補;它甚至找出影像處理軟體 FFmpeg 一個長達 16 年、連自動化測試工具都未能發現的漏洞,影響範圍可觀。他說明,在這類 AI 模型出現之前,漏洞挖掘的速度與規模都遠不及現在。
他進一步以兩個名詞說明攻防節奏:一是武器化窗口期 (WOW, Window of Weaponization),指漏洞從公開揭露到出現可實際使用的攻擊程式之間,屬於攻擊方的時間;二是平均曝險窗口期 (AWE, Average Window of Exposure),指漏洞公開揭露後到防禦方完成修補或緩解之間,是資安團隊可以著力的時間。他強調,要做到事前預防而非事後應變,就必須讓 AWE 小於 WOW 。
以 CTEM 框架為資產與漏洞排定優先順序
預防成功的關鍵在於讓平均曝險窗口(AWE)小於武器化窗口(WOW)。
姚天朗援引 Gartner 提出的持續威脅曝險管理 (CTEM, Continuous Threat Exposure Management) 框架,說明其五個階段。第一是範圍界定,先界定需要關注的攻擊面,因為工具往往分散在雲端與地端等不同環境;第二是發現,找出看得見與看不見的資產,以及其上的漏洞、組態設定錯誤等曝險風險。
第三是優先排序,他認為這一步尤其重要,因為 CVE 與漏洞數量龐大,難以在第一時間全部處理,應依漏洞的嚴重程度或企業的業務背景,判斷哪些屬於重要資產與高風險項目;他並指出,真正會被利用、被武器化的漏洞其實不到 1%,這不到 1% 才是需要優先處理的真實威脅。第四是驗證,透過模擬攻擊路徑確認漏洞是否真會被攻擊方利用;第五是動員,協調團隊一起應對並完成修補。
從補救到 AI 助手的單一統一平台
以集中式庫存整合各類資產與第三方連接器,完整檢視整個攻擊面。
姚天朗表示,Qualys 的企業級 TruRisk 管理平台 (ETM, Enterprise TruRisk Management) 是唯一能在單一統一框架下滿足 Gartner CTEM 五個階段的平台,協助企業套用此框架進行優先排序與補救。在修補上,若漏洞可修補,平台能透過代理程式自動部署修補程式,並以 AI 判斷修補程式是否可靠;若尚無修補方案,則可透過更改設定或版本,修改可執行的指令碼,例如以 PowerShell 進行緩解。
他補充,平台也預先準備多個不間斷運作的 AI 助手,能協助日常維運、稽核與合規報告,或驗證特定漏洞是否會被攻擊方利用。不論企業使用 Qualys 或其他第三方工具,都能將資料蒐集整合至單一統一平台,再進行後續的優先排序與修補。
姚天朗總結,面對 AI 大幅縮短武器化窗口的趨勢,企業更需先盤點資產、統一判斷風險並排定優先順序,聚焦真正高風險的漏洞,再透過驗證與動員完成修補,才能在曝險窗口內搶得先機。
更多會後報導
活動精彩回顧