跳到主要內容
Lab Grimoire
TW EN
請喝咖啡
AI 會讓零日漏洞變多嗎?先看懂它改變了資安流程的哪一段
AI 資安

AI 會讓零日漏洞變多嗎?先看懂它改變了資安流程的哪一段

本頁目錄

導讀
如果一個研究員只給 AI 大約 30 行 提示詞,兩週後回頭一看,Firefox 已經吐出 122 個可重現的當機輸入,其中 22 個後來拿到 CVE;另一邊,Linux NFS v4 還挖出一個可追溯到 2003 年 的老問題。這種訊息會讓人緊張,很合理。但真正需要看懂的,不是「AI 是不是突然變成萬能駭客」,而是它把哪一段資安流程突然踩了油門。

先說結論:AI 正在提升漏洞研究的效率,但資安風險是否擴大,關鍵不只在發現能力,還在驗證、修補與部署速度。

零日漏洞之所以可怕,不是因為名字嚇人,而是因為它代表:漏洞已經存在,但防守方還沒準備好。
而 AI 的加入,最直接的影響,就是讓「找到問題」這一步突然快很多。像原本拿手電筒巡一棟大樓,現在換成一排不太會累的探照燈。


零日漏洞到底是什麼?

零日漏洞,就是防守方還來不及修補,攻擊方卻可能已經能利用的安全缺口。

所謂零日漏洞,通常指的是軟體中尚未被修補,或剛被發現但還沒有補丁可用的安全缺陷。
它不一定昨天才出現,很多漏洞其實可能已經在程式碼裡待了很久,只是一直沒被看見。

這也是近來大家討論 AI 與資安時,最容易忽略的一點:

AI 不是把原本安全的世界突然變危險,而是讓那些本來就藏在系統裡的問題,更容易浮出水面。


AI 為什麼會在這裡特別有用?

因為找漏洞,本來就是一種在巨量程式碼裡做高強度搜尋的工作,AI 很適合先做第一輪大篩檢。

研究人員要讀大量程式碼、追邏輯、找邊界條件、設計測試輸入,還要判斷哪些異常是真問題、哪些只是雜訊。這很像在沙堆裡篩金子。AI 不一定比最強研究員更懂每一段系統,但它很會先把可疑區塊挑出來。它可以:

  • 很快掃過大量程式碼
  • 整理可疑模式
  • 協助生成測試案例
  • 幫研究者縮小排查範圍

公開討論裡,最值得記住的不是口號,而是幾個具體案例:

  • Linux NFS v4:公開分享提到,AI 協助找出核心中的堆疊緩衝區溢位,問題可追到 2003 年 前後,等於在生產級程式碼裡躲了超過 20 年。這種案例最刺眼的地方,不是「AI 很神」,而是老系統裡真的還有長年沒被摸到的死角。
  • Ghost CMS:另一個常被引用的案例,是 盲目 SQL injection,後來取得 CVE-2026-26980。這表示 AI 不只是在練習場解題,它有機會碰到真實服務上的高風險缺口。
  • Firefox:在公開測試中,AI 在 2 週 內找出 122 個可造成當機的輸入,最後有 22 個拿到 CVE。這顯示它特別擅長把原本要靠大量人工試錯的搜尋工作,往前推一大截。

如果再把外界常提到的 30 行 提示詞、500+ 漏洞或候選點放在一起看,你會更明白這一波焦慮從哪裡來。
但這裡也要先踩煞車一下:當機、漏洞候選、已取得 CVE,並不是同一個口徑。 不能把所有數字直接混成一桶,這正是下一段要談的壓力點。


漏洞生命週期示意圖

圖說:以「潛伏 → 發現 → 驗證 → 修補 → 部署更新」呈現流程,幫讀者看懂 AI 主要加速的是哪一段。


真正的壓力點,其實在後半段

如果 AI 讓發現漏洞變快,防守方最先被壓垮的,通常不是「看到漏洞」這一刻,而是後面的驗證、修補與部署。

答案很直接:後面的流程跟不上。

找到可疑點,還不等於能立刻修好它。
團隊通常還要經過幾個步驟:

  1. 確認是不是真漏洞
  2. 評估影響範圍
  3. 撰寫修補程式
  4. 測試是否造成新問題
  5. 安排釋出與更新

也就是說,風險不只來自「AI 會找到更多」,還來自「組織能不能消化更多」。
前段像輸送帶突然加速,後段卻還靠人工鎖螺絲。只要發現速度明顯快於驗證與修補速度,漏洞積壓就會變成新的瓶頸。

這也是為什麼看到 500+ 這類數量級時,真正該問的不是「天啊,世界是不是完了」,而是:

  • 誰來分級這些候選問題?
  • 誰能在短時間內重現它?
  • 哪些系統要先熱修,哪些可以等例行更新?
  • 使用者端有沒有辦法真的把補丁裝上去?

這也是為什麼近年的資安討論,愈來愈重視一件事:
未來比的也許不只是誰先發現,而是誰先驗證、誰先修補、誰先讓使用者完成更新。


那是不是代表攻擊方一定占上風?

不一定,因為「找到異常」和「穩定利用」中間,還隔著一整串工程。

這點很重要。很多公開成果,起點是當機、可疑模式或漏洞候選,這些都很有價值,但不代表每一個都能立刻變成穩定可用的攻擊工具。
不同案例也來自不同系統類型,像 Linux 核心、Ghost CMS、Firefox,本來就不能直接視為「所有軟體現在都暴露在同一種風險水位」。

值得注意的是,目前比較能確定的,是 AI 已經明顯加速了發現與初步分類;還不能直接跳到「所有高價值攻擊很快都會全自動化」這個結論。
真正可靠的說法應該是:AI 正在縮短漏洞從潛伏到曝光的時間,但曝光之後要不要演變成大規模事故,仍取決於驗證、修補、通報與更新能力。

同一批工具,也能被防守方使用。
AI 可以幫忙找漏洞,也可以幫忙:

  • 提早做程式碼審查
  • 加速測試與模糊測試
  • 協助整理漏洞報告
  • 提醒開發團隊優先修補高風險區域

所以問題不該只問「AI 對駭客有多有利」,也要問:
企業、開發團隊與開放原始碼社群,是否有足夠快地把 AI 用在防守端?

如果答案是否定的,那風險確實會變大。
但那比較像是導入速度與治理能力的落差,不是宿命。


互動小問題
如果你負責維運一套系統,你們最近一次演練「緊急修補與更新」是什麼時候?
很多組織真正缺的,不是資安口號,而是能在幾天內完成驗證與部署的流程。


發現速度與修補速度的落差

圖說:左側是 AI 加速漏洞發現,右側是人工驗證與修補流程;強調風險不是單點爆發,而是流程失衡。


一般使用者、開發者、組織,各自該做什麼?

如果你是一般使用者

你不需要懂漏洞細節,但要降低「已知風險拖太久」:

  • 盡量開啟自動更新
  • 啟用多因子認證
  • 減少安裝來源不明的工具與外掛

如果你是開發者

重點不是恐慌,而是提早把安全檢查前移,並縮短從發現到修補的時間:

  • 在開發流程中加入自動掃描與程式碼審查
  • 定期盤點依賴套件
  • 先處理高風險、影響面大的元件
  • 為模糊測試、當機重現與漏洞分級建立固定流程

如果你是組織管理者

真正要投資的,常常不是某個單一新工具,而是整段應變能力。最實際的做法,是把抽象的「資安重視」改成幾個可以被追蹤的問題:

  • 漏洞通報進來後,是否有人在 24 小時 內接手分級
  • 驗證流程是否太慢,導致可疑點堆在待辦清單裡
  • 緊急修補是否能快速上線,而不是每次都卡在部署程序
  • 高風險系統是否定期演練熱修與回滾
  • 舊版本是否長期無法淘汰,變成永遠補不完的洞

結語:比起危言聳聽,更需要成熟的風險感

AI 正在改變資安,這點大致已經沒有太多爭議。
但它帶來的,不只是「更強的攻擊者」,也是「更有機會提早發現問題的防守者」。

真正需要小心的,不是把所有討論都推向末日感,
而是低估了流程重整的急迫性。

簡單說:

  • 漏洞可能會被更快發現
  • 修補壓力可能會變大
  • 但防守方不是沒有工具
  • 關鍵在於是否及早調整流程

資安從來不是只靠一招解決的事。
到了 AI 時代,這句話只會更真。真正決定輸贏的,往往不是誰先喊出危機,而是誰先把驗證、修補與更新流程練起來。


延伸閱讀建議

  • Google DeepMind 與 Nicholas Carlini 對 AI 輔助漏洞發現的公開分享
  • CVE 公開資料庫
  • Mozilla 與各大專案的安全公告頁面
  • 軟體供應鏈安全與依賴管理相關文件

常見問題

AI 真的已經能自動找到零日漏洞嗎?

可以,而且公開案例已經不只一個。 但要分清楚:有些成果是找到可重現的當機,有些是漏洞候選,有些最後才會進一步取得 CVE。它們代表的嚴重度不同,不能全都當成同一件事。

這是不是代表駭客很快就能全自動打穿所有系統?

還不能這樣講。 從發現異常到穩定利用,中間還有重現、驗證、武器化、繞過防護等步驟。AI 正在加速前段,但不等於每一條攻擊鏈都已經完全自動化。

為什麼一般使用者還是要在意更新?

因為零日漏洞真正危險的時間點,常常不是「漏洞存在」,而是「漏洞被知道了,但很多人還沒更新」。 只要你讓裝置與常用軟體盡量縮短這段暴露時間,風險就會明顯下降。 ---

覺得這篇有幫助?

追蹤以收到新的 AI × 生醫研究筆記:

或請我喝杯咖啡,讓新內容持續產出。

☕ 請我喝杯咖啡