AI 加速駭客攻擊！美國 CISA 發布新令：聯邦政府關鍵資安漏洞須在 3 天內修補

AI 時代的資安競賽：修補時限縮短至 3 天

隨著人工智慧模型技術的演進，軟體漏洞的偵測與攻擊速度正大幅提升。為了應對此一威脅，美國網路安全暨基礎設施安全局（CISA）於週三發布了一項新的「具約束力營運指令」（Binding Operational Directive, BOD），強制要求聯邦民事機構必須更快速、高效地完成軟體修補。

CISA 網路安全代理執行助理局長 Chris Butera 表示，該指令的核心目的在於協助各機構建立優先順序，確保最危險的漏洞能被優先處理。他在週三的記者會上強調：「考慮到人工智慧的進步，駭客現在能輕易找出並利用聯邦資產的漏洞，防禦者已無法再花費數週時間來修補那些可能被大規模自動化攻擊的系統。」

漏洞評估的四項指標

根據這項新指令，CISA 制定了一套評估漏洞緊急程度的標準。若一項漏洞同時符合以下四項條件，相關機構必須在 3 天內完成修補，並執行「鑑識分流」（forensic triage）程序，以確認系統是否已經遭到入侵：

系統是否對外公開暴露。
該漏洞是否已被列入 CISA 的「已知被利用漏洞目錄」（Known Exploited Vulnerabilities Catalog）。
攻擊者是否能將利用該漏洞的所有步驟自動化。
漏洞被利用後，攻擊者能獲取的存取權限程度。

這項新指令取代了 CISA 過去分別於 2019 年與 2021 年發布的兩項修補時程要求。在舊有的架構下，最嚴重的漏洞修補時限為 15 天，另一類高緊急漏洞則為 30 天。CISA 曾於 2021 年指出，駭客利用漏洞的速度極快：在已知被利用的漏洞中，有 42% 在揭露當天即被利用，50% 在兩天內被利用，75% 則在 28 天內被利用。