AI 找漏洞像開外掛,修漏洞卻像跑馬拉松
還記得去年大家擔心 AI 會不會被駭客用來找漏洞嗎?現在反過來了——AI 找漏洞的速度快到工程師修不完。Anthropic 最新公開的 Project Glasswing 顯示,Claude Mythos Preview 已經在全球關鍵軟體裡挖出 超過 1 萬個高或重大等級漏洞,但真正讓人傻眼的是:平均要花 14 天 才能修好一個。
1. 為什麼 14 天這麼要命?
想像你家大門被發現鎖壞了,但鎖匠說「兩週後才有空幫你換」。這兩週你怎麼辦?
- 雲端主機、銀行系統、醫院設備 都跑在這些軟體上
- 530 個已確認的高危漏洞 還在排隊等修補
- 827 個已確認但還沒回報 的漏洞正在累積
換句話說,AI 把「找洞」變成自動化,但「補洞」還是 100% 人力活。
2. 台灣企業該做什麼?先別等補丁
Project Glasswing 的建議很直白:縮短測試與部署補丁的時間,同時把基本資安做好,別把雞蛋放在「等補丁」這個籃子。
三步驟先自救
-
多因子驗證(MFA)先開好開滿
就像提款卡 + 簡訊驗證,駭客拿到密碼也進不來。 -
網路設定「預設拒絕」
把防火牆想成便利商店門口:只讓認識的人進,陌生人一律擋。 -
完整日誌 + 即時告警
把系統日誌想成 7-11 的監視器,出事時才能回放找兇手。
3. 維護者崩潰:「請慢一點!」
根據 Anthropic 的觀察,不少開源軟體維護者已經被 AI 產生的大量報告淹沒:
- 低品質 AI 報告暴增 → 工程師要花時間過濾垃圾
- 人力嚴重不足 → 有人直接要求「請放慢回報速度」
- 平均修補時間 14 天 → 還不包含測試與部署
這就像醫院一次湧進 1 萬個病人,但醫生只有 10 位。
4. 給台灣 IT 部門的 3 個立即行動
| 行動 | 今天就能做 | 預期效果 |
|---|---|---|
| 啟用 MFA | 10 分鐘 | 阻擋 99.9% 的密碼噴濺攻擊 |
| 檢查預設帳密 | 30 分鐘 | 關掉「admin/admin」這類大門敞開設定 |
| 訂閱 CVE 告警 | 5 分鐘 | 第一時間知道自家軟體有洞 |
5. 下一步:把「修洞」也自動化
Anthropic 正在跟 50 多家合作夥伴(包括雲端大廠、金融、醫療)測試 自動化修補流程:
- AI 找洞 → 自動生成修補碼 → 人類只做最後確認
- 目標把 14 天縮到 48 小時內
但這需要整個生態系配合,不是單一家公司能搞定。
現在就打開你家系統的管理後台,先把 MFA 打開,再把預設密碼改掉。AI 已經幫駭客開了外掛,我們只能先把基本功練到滿級。