十亿条 CISA KEV 修复记录分析揭示人力安全模式的极限

HackerNews 编译，转载请注明出处：

漏洞利用时间现已降至负七天，自主AI代理加速威胁，数据不再支持渐进式改进。防御架构必须改变。

领导者须知

过去四年CISA已知被利用漏洞分析显示，尽管团队关闭的工单数量增加6.5倍，第7天仍未修复的关键漏洞比例却从56%恶化至63%。增加人手无法解决此问题。

我们研究的52个被武器化追踪漏洞中，88%的修补速度慢于利用速度——一半在补丁发布前已被武器化。

问题不在于速度，而在于运营模式本身。

累积暴露时间而非CVE数量，才是安全团队现在需要衡量的真正风险指标。当仪表板奖励冲刺式补丁部署时，漏洞利用的是长尾。AI并非另一个攻击面——AI驱动的攻击者面对人类防御者的过渡期，才是行业最危险的窗口。

作为回应，防御者必须实施自己的自主闭环风险运营。

破碎的物理法则

Qualys威胁研究单元新研究分析了四年间1万家组织的超过10亿条CISA KEV修复记录，量化了行业长期怀疑但从未大规模证实的事实：支撑企业安全的运营模式已崩溃。

自2022年以来，漏洞数量增长6.5倍。据谷歌M-Trends 2026，平均漏洞利用时间已崩溃至负七天；换言之，攻击者在补丁发布前就已武器化最严重漏洞。第7天仍未修复的关键漏洞比例从56%攀升至63%。

但这并非缺乏努力。组织现在每年关闭的漏洞事件比基线多4亿个。团队更努力，但在关键处未能产生影响。研究人员称之为"人力天花板"——无论人员配置或流程成熟度如何都无法克服的结构限制。约束不是努力，而是模式本身。

在52个完整利用时间线追踪的高调武器化漏洞中，88%的修复速度慢于利用速度。例如，Spring4Shell在披露前两天就被利用，而企业平均需要266天修复。同样，Cisco IOS XE漏洞提前一个月被武器化；平均关闭时间为263天。

攻击者优势以天衡量，防御者响应以季度衡量。这不是情报失败，而是运营化失败。

消息来源：bleepingcomputer.com；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文