挖漏洞这件事,过去是人干的慢活。一个老练的安全研究员盯着一段代码看上几天,能揪出一两个洞就算有收获。
现在 AI 几小时就能把一个几百万行的代码库翻一遍,洞一个接一个往外冒。
问题随之而来:洞挖得越快,补丁这头越狼狈。6 月 2 日,思科干脆把规矩改了——以后产品安全公告不再”随挖随发”,改成排班,一个月就固定两天。
新规矩长什么样
从 7 月起,思科把这套流程改成这样:
- 固定档期:安全公告只在每月第一个和第三个周三发
- 提前通知:发布前 7 天先告诉你这次覆盖哪些产品线,让你有时间排人手
- 核心系统单独走:那几个核心网络操作系统(IOS XE、IOS XR、NX-OS、Firepower/ASA、SD-WAN)改成一个季度发一次,而且不在同一天扎堆发多个核心产品
- CVE 也换了算法:以前一个 bug 给一个编号,现在按弱点类型(CWE)打包,强调”这一版整体修了什么”,而不是逐个 bug 单报
一句话:把零散的”随时披露”,攒成有节奏的”版本发布”。
为什么是现在
思科信息安全副总裁 Russ Smoak 把原因说得很直:
“The fundamental scale of vulnerability discovery has shifted.”
漏洞被挖出来的规模,整个变了。他还补了一句更扎心的:
“the window between disclosure and exploitation has effectively closed.”
讲人话就是:从”洞被公开”到”洞被人拿去打你”之间那点缓冲时间,基本没了。
这话不是空喊。前阵子 Anthropic 那个 Mythos,把藏了几十年的零日洞批量翻出来——Firefox 一次修了 271 个,OpenBSD 憋了 27 年没人发现的洞两周就被挖到。整个安全圈都在重新算账。
思科这个动作,本质上是大厂第一次正面承认:AI 把”挖洞”这件事的产能直接拉爆了,旧的那套”随时披露、随时打补丁”流程,扛不住了。
顺手还推了个挡板
光改流程不够。思科同时推了个新产品,叫 Live Protect。
它的活,是在”洞被发现”到”补丁装上”这段空窗期里,给客户搭一个临时挡板——先挡一下,别在你还没来得及打补丁的时候就被人打穿。
官方的说法是,这东西”specifically to help organizations bridge the gap between when a vulnerability is uncovered, and the organization can patch”——专门补上那段从发现到打补丁之间的缝。
排班发布,是开倒车吗
第一反应可能是:洞不是越早告诉用户越好吗?攒着一起发,听起来像在拖。
反过来想就通了。
洞冒得太快,要是一天来一个一次性公告,企业那边的安全团队光是分诊、判断影响、跑回归测试,就先累垮了。把修复攒到固定档期一起发,反而让运维这头排得过来——一次性测一批,比每天救火强。
这其实是在两个东西之间找平衡:披露速度 和 企业扛不扛得住。AI 把前者推到了极限,思科是在给后者留口气。
思科是第一个,不会是最后一个
AI 挖洞的产能只会越来越高,不会回头。
今天是思科被逼着重排自己的安全节奏,明天就是别家。当攻防两头都在用 AI,连”什么时候告诉你有洞”这种以前想都不用想的事,都成了要重新设计的一环。
这场军备竞赛,已经卷到流程本身了。
参考来源:Strengthening the Foundation: A Predictable, Customer-focused Response to AI-Accelerated Vulnerability Discovery(Cisco Blogs);Cisco to issue security disclosures twice a month amid AI bug boom(Axios)