随着新一代AI模型推动快速的软件漏洞发现以及恶意黑客更快速利用的潜力，美国网络安全和基础设施安全局在周三发布了一项新指令，要求联邦民用机构更快速、高效地进行软件补丁修复。这项“具有约束力的操作指令”（BOD）规定了根据四个紧急性评估来修复漏洞的速度标准，在关键情况下的周转时间仅为三天。CISA的网络安全代理执行助理主任Chris Butera在周三告诉记者，这项指令的目标是帮助机构确定优先级，以便他们可以首先解决最严重的漏洞，同时可以花更多时间修复那些风险较小的bug。随着私营公司和政府纷纷急于评估AI漏洞和利用开发能力可能引发的网络安全危机的程度，这项指令应运而生。“在人工智能的进步背景下，将IT和安全操作的关注点放在最有风险的资产上尤为重要，因为这使得威胁行为者能够发现并利用[联邦]资产中的漏洞，”Butera在周三说道。“防御者无法承受几周的时间来修补那些可以被自动化大规模利用的系统。”CISA指令评估补丁紧急性的标准包括查看漏洞是否存在于公开暴露的系统中，漏洞是否列在CISA的已知利用漏洞目录中，攻击者是否可以自动化所有步骤来利用该漏洞，以及如果该漏洞被利用攻击者将获得多少对目标的访问权。根据新指令，如果四个要点都适用，则必须在三天内修复漏洞，机构还必须执行“法医学分类”过程，以确定系统是否已被妥协。该指令取代了两项之前与紧急漏洞补丁时间表相关的CISA命令—一项来自2019年，另一项来自2021年。这些建立了一个框架，要求在检测到后15天内修复最关键的漏洞，另一类高紧急性漏洞必须在30天内修复。两者都鼓励在可能的情况下更快地修补严重缺陷。即使在AI时代之前，2021年，CISA写道“威胁行为者极其迅速地利用他们所选择的漏洞：在已知的被利用漏洞中，有4%的漏洞在公开的第一天就被利用；50%在两天内被利用；75%在28天内被利用。”过去十年，美国联邦网络安全有了显著改善，但由于资金短缺和优先事项冲突，仍然常常滞后。CISA的Butera表示，机构在制定新的评估标准和更广泛的指令时考虑到了这些限制。他指出，例如，对于最紧急漏洞的三天截止日期并不是24小时，因为如此短的时间框架对大多数机构来说并不切实际。新的AI能力已经改变了漏洞检测和bug捕获的格局。随着这促使补丁紧急性增加，许多研究人员开始得出结论，基本上没有多少补丁是足够的—全球的软件开发社区必须致力于采用新的架构或系统方法来一次性使整个漏洞类别失效。“CISA的指令心到位，但仅解决了一半的挑战，”云安全公司Edera的首席执行官Emily Long表示。“如果你的架构没有在破坏后限制攻击者可以访问的内容，你只是在同一个跑步机上跑得更快。修补永远很重要，但我们应该更多地讨论设计中的隔离。”CISA的Butera似乎在周三承认了这一演变。他表示，这项新指令“是应对新兴AI模型增强能力的初步步骤，”他说。“然而，仍然需要更多的工作。