半導體/AI 美國政府機構已停止對全球主要軟件相關漏洞進行全面分析與評估。這反映出隨着美國新興企業Anthropic推出的“Mythos”等先進AI問世,軟件漏洞檢出數量激增,分析工作已難以及時跟進。 負責漏洞分析與評估的美國國家標準與技術研究院(NIST)表示,今後將把漏洞分析對象限定在緊急性較高的案件。這意味着將改變此前對來自全球企業和研究人員報告的所有漏洞全部進行評估的方針。對日本企業而言,也可能成為所使用軟件漏洞修復延遲的原因。 背景在於AI的進化。自2025年前後起,AI在漏洞檢測方面的精度顯著提升。NIST解釋稱,“已無法應對不斷增加的報告數量”。NIST掌握的漏洞數量在2025年超過4萬9000個,達到2020年的2.6倍。即便檢測出漏洞,分析與修復也難以及時跟進。 推動漏洞檢出激增趨勢進一步加速的是Anthropic於4月7日試驗性發布的新模型“Mythos”。據稱,Mythos模型發現了數千項未知漏洞。該模型未對公眾開放,僅允許美國大型科技企業以防禦其服務為目的加以使用。 日本立命館大學教授上原哲太郎表示:“由AI導致的漏洞激增以及修復跟不上的問題已在整個行業顯現。Mythos成為決定性因素。”此外,OpenAI也於4月14日發布了提升漏洞發現與修復能力的新模型。 NIST此前對於報告的漏洞,依據需要修復的嚴重程度採用滿分10分進行評估。今後將僅對與美國政府直接相關等緊急性較高的案件進行評估。 若NIST未能識別出重要漏洞,關鍵修復可能延遲,系統處於易受網絡攻擊的高風險狀態的時間可能延長。 NIST對漏洞的重要性評估,也為日本企業安全負責人提供了判斷應優先應對哪些漏洞的依據,影響較大。在日本方面,信息處理推進機構(IPA)等也發布漏洞分析,但主要集中在日本國內軟件。 自Mythos問世以來,已有觀點指出,若AI檢測出的漏洞被網絡攻擊者利用,可能對金融系統及關鍵基礎設施構成威脅。儘管如此,通過限定公開等方式對AI進行適當管理,仍被認為有助於推動修復已檢測出的漏洞。 此次NIST轉變方針,使得即便AI檢測到的漏洞數量增加,人類難以及時跟進應對的風險進一步明確。 漏洞處置需在審慎評估是否會對信息系統造成故障等影響的前提下推進。對於人力和預算有限的企業而言,即便AI報告的漏洞數量增加,也未必能夠全部修復。 目前也在推進利用AI進行漏洞修復的嘗試,但是否會影響與其他軟件的聯動等問題,最終仍需由人工負責審慎核查。 包括Google高管在內的安全行業專家聯合發布了關於Mythos的分析報告,預測稱漏洞的應對需求將“如洪水般湧現”。報告以“漏洞風暴”為題,警示防禦方的應對能力尚未跟上AI的發展。 隨着漏洞檢測進一步增加,未來企業需自行設定優先級,甄別緊急性較高的漏洞,而非對所有漏洞逐一應對。軟銀的首席安全研究員辻伸弘指出:“機械地逐項應對會消耗人力資源,可能導致對緊急性較高的案件反應滯後,從而引發損失。” 若連AI檢測出的輕微漏洞也全部修復,反而可能延誤對重要問題的處理,產生反效果。隨着AI的高度發展,網絡防禦的理念也在發生變化。
|
