CISA拟将漏洞修补期限缩至3天，应对AI加速攻击

CISA考虑将联邦机构漏洞修补期限压缩至3天以应对AI驱动的网络威胁

据路透社援引知情人士消息报道，美国网络安全和基础设施安全局（CISA）正在考虑一项提案，拟将联邦机构修补关键软件漏洞的期限从约两到三周大幅压缩至仅三天。

这一提案于周五首次披露，折射出外界日益加剧的担忧——AI驱动的工具正让攻击者能够以远超政府网络防御速度的节奏，迅速将新发现的漏洞武器化。知情人士告诉路透社，CISA代理局长尼克·安德森与美国国家网络主任肖恩·凯恩克罗斯正就上述缩短时限的方案展开讨论。据报道，CISA及国家网络主任办公室均未立即回应置评请求。

日益收窄的时间窗口

支撑这一提案的数据令人警醒。由 Sysdig 首席信息安全官 Sergej Epp 维护的"零日时钟"仪表板追踪漏洞披露与确认被利用之间的时间差，数据显示，2026 年漏洞被利用的平均时间已缩短至不足一天，而 2019 年这一数字还是 2.3 年。今年已遭利用的漏洞中，超过 67% 为零日漏洞——即在披露当天或披露之前就已被武器化的漏洞——相比 2018 年的约 16% 大幅攀升。

AI 加速了攻击链的每个环节。今年 2 月，Anthropic 披露其 Claude Opus 4.6 模型在开源软件中发现了逾 500 个高危漏洞；Sysdig 也记录了一起 AI 驱动的攻击事件，攻击者仅用八分钟便取得了管理员级别的访问权限。SANS 研究所于 4 月发布的简报警告称，AI 驱动的漏洞发现工具生成可用漏洞利用代码的速度，已超过大多数组织测试和部署补丁的速度。

根据现行的《约束性操作指令 22-01》，CISA 通常给予联邦文职行政部门机构 14 至 21 天的时间，以修复被列入已知被利用漏洞目录的漏洞。在高风险情况下，CISA 已将截止期限压缩至最短三天——今年 2 月针对一个正被积极利用的 Dell 严重漏洞及 BeyondTrust 漏洞即采取了此举。新提案将把这一压缩后的时间线作为统一标准。

强化联邦防御的更广泛举措

补丁截止期限的讨论与更广泛的联邦网络安全行动同步推进。4月29日，CISA联合国防部、能源部、国务院及联邦调查局等合作机构，发布了题为《将零信任原则应用于运营技术》的新指导文件。这份长达28页的文件与NIST网络安全框架2.0保持一致，为如何将零信任架构应用于支撑电网、水处理厂及其他关键基础设施的传统工业控制系统，提供了切实可行的操作步骤。

该指南强调全面的资产可见性、网络分段以及更严格的身份和访问控制——同时也承认，运营技术对安全性和系统正常运行时间的严格要求，使得"一刀切"的强制规定难以实行。文件指出："运营技术中的零信任，并非追求完美或零风险，而是通过有据可依、深思熟虑的决策，在不影响关键任务运营的前提下，降低安全风险敞口、提升整体韧性。"

漏洞修补差距依然存在

就在CISA推动加快响应速度之际，当前漏洞态势的严峻性本周再次凸显。4月28日，CISA要求各机构在5月12日前修补一个Windows Shell欺骗漏洞CVE-2026-32202——留出了两周的修复窗口期，但一位安全专家表示，这仍让各组织处于暴露风险之中。Info-Tech Research Group技术顾问Erik Avakian指出，尽管CISA可以将高风险漏洞的修复期限缩短至三天，但CVE-2026-32202被评定为中等严重级别，因此仍按标准时间线执行。

攻击者出手速度与防御者响应速度之间的差距，始终是核心矛盾所在。Zero Day Clock分析报告警告称："当厂商发布安全补丁时，AI现在可以对补丁进行逆向工程，识别其所修复的漏洞，并在数分钟内生成可实战使用的武器化漏洞利用代码。而各组织平均需要20天才能完成同一补丁的测试与部署。"resilientcyber