行业核心动态：AI驱动软件漏洞检测激增与应对策略转变 - 随着以Anthropic的Mythos模型为代表的先进AI问世，软件漏洞检出数量激增，导致分析与修复工作难以及时跟进，整个行业面临修复跟不上的问题 [2][4][5] - 美国国家标准与技术研究院因无法应对激增的报告数量，决定转变方针，今后仅对紧急性较高的漏洞进行分析评估，不再对所有报告漏洞进行全面处理 [2][4][5] - 这一转变使得即便AI检测到的漏洞数量增加，人类难以及时跟进应对的风险进一步明确，网络防御的理念正在因AI的高度发展而发生变化 [6] 关键数据与事件驱动因素 - NIST掌握的漏洞数量在2025年超过4.9万个，达到2020年的2.6倍 [4] - Anthropic于4月7日试验性发布的新模型“Mythos”发现了数千项未知漏洞，成为推动漏洞检出激增趋势的决定性因素 [4][5] - OpenAI也于4月14日发布了旨在提升漏洞发现与修复能力的新模型 [5] - 安全行业专家联合发布的分析报告以“漏洞风暴”为题，警示防御方的应对能力尚未跟上AI的发展，预测漏洞应对需求将“如洪水般涌现” [6] 对企业的影响与挑战 - NIST对漏洞的重要性评估是日本等全球企业安全负责人判断修复优先级的重要依据，其方针转变可能导致企业所使用的软件漏洞修复延迟 [4][5] - 对于人力和预算有限的企业而言，即便AI报告的漏洞数量增加，也未必能够全部修复，需要自行设定优先级，甄别紧急性较高的漏洞 [6] - 若机械地逐项应对所有漏洞会消耗人力资源，可能导致对紧急性较高案件的反应滞后，从而引发损失 [6] - 若连AI检测出的轻微漏洞也全部修复，反而可能延误对重要问题的处理，产生反效果 [2][6] 技术现状与潜在风险 - Mythos模型目前未对公众开放，仅允许美国大型科技企业以防御其服务为目的使用 [4] - 通过限定公开等方式对AI进行适当管理，被认为有助于推动修复已检测出的漏洞 [5] - 目前也在推进利用AI进行漏洞修复的尝试，但修复是否会影响与其他软件的联动等问题，最终仍需由人工负责审慎核查 [6] - 若NIST未能识别出重要漏洞，或AI检测出的漏洞被网络攻击者利用，关键修复可能延迟，系统处于易受网络攻击高风险状态的时间可能延长，可能对金融系统及关键基础设施构成威胁 [5][6]