Anthropic 发布针对“AI加速攻势”的安全建议,强调未来24个月内大量历史漏洞将被AI快速发现并链成可利用的攻击链,同时防守方也应利用AI加速防护。文章给出可立刻实施的优先措施,包括缩短补丁窗口、准备应对大幅增加的漏洞报告量、以及用自动化和AI工具提升分流与修复效率。
背景
– 较高能力的AI模型正在大幅降低发现与利用软件漏洞所需的时间与技能。Anthropic 提出 Project Glasswing,用其前沿模型帮助防守。
立即可做的工作
1) 关闭补丁缺口
– 优先立即修补 CISA Known Exploited Vulnerabilities (KEV) 列表中可达系统。
– 使用 EPSS(Exploit Prediction Scoring System)为剩余 CVE 排序,先修高风险项。
– 对互联网暴露的应用建议在漏洞可利用后的24小时内修补;其他漏洞在数日内处理。
– 在可接受的风险范围内启用补丁自动部署与重启,减少人工审批延迟。
– 对容器镜像和依赖使用开源扫描器,在 CI 中标注 KEV/EPSS 优先级。
2) 应对大量漏洞报告
– 预计未来 ~2 年漏洞发现量将成倍增长,需提升受理、分流、优先级与修复跟踪能力。
– 不再依赖仅靠电子表格与每周会议;引入自动化但保留人工复核。
– 审查开源依赖安全:使用 OpenSSF Scorecard 等工具在 CI 中评估包的维护与安全信号。
– 在第三方风险管理中要求供应商说明其如何应对加速的利用时间窗并是否扫描自身代码。
– 构建自动化流程,将合规回归测试后的更新持续交付到测试与生产环境。
AI能如何辅助
– 提速分流与分级:前沿模型可去重报告、结合资产知识评估暴露面、并草拟修复工单。
– 其他可用场景:加速代码审计、漏洞逆向与利用检测,但也要警惕攻击方同样使用这些能力。
持续演进
– 许多建议与现有安全最佳实践一致,Anthropic 会根据 Project Glasswing 的后续发现持续更新指南。
安全防护必须向更高频率和更自动化方向转型,否则AI将把长期潜伏的漏洞迅速变成现实威胁。