AI系统加速漏洞利用：如何调整防护策略

伊利诺伊大学研究人员进行的一项研究发现，GPT-4人工智能模型在获得CVE描述的情况下，能够利用87%的已知漏洞。若无此类数据，其有效性降至7%。然而，Claude Mythos Preview模型的出现改变了这一局面：它已学会独立发现零日漏洞，使传统防御系统的优势不复存在。在测试中，Mythos复现了CyberGym基准测试中83.1%的漏洞，针对OpenBSD的单次攻击成本不足20美元。

漏洞利用速度已达到临界水平。例如，Langflow中的CVE-2026-33017漏洞（CVSS评分9.8）在发布后20小时内遭到攻击，而Marimo中的CVE-2026-39987（CVSS评分9.3）仅在9小时41分钟后即被利用。根据Rapid7的报告，从CVE发布到被纳入CISA已知被利用漏洞（KEV）目录的中位时间为五天，但攻击往往在补丁发布前就已开始。这颠覆了传统的补丁窗口安全观念。

专家建议放弃仅基于CVSS评分的漏洞优先级排序，采用三层过滤机制：考虑CISA KEV状态、漏洞利用预测评分系统（EPSS）指标及CVSS评分。此方法将效率提升1800%，并覆盖85.6%的被利用漏洞。此外，自动化关键服务的补丁流程、测试AI代理的授权边界以及为所有AI开发工具（如Langflow、Flowise和n8n）绘制漏洞地图至关重要。

AI代理的安全标准仍在制定中。IETF的draft-klrc-aiagent-auth-01等项目建议使用SPIFFE和OAuth 2.0动态签发短期凭证。但在标准落地前，企业需自行调整防护策略，以应对已不再以天计而是以小时计的攻击速度。