資安業者 Qualys 威脅研究團隊分析跨 1 萬家組織、歷時四年、逾十億筆 CISA 已知遭利用漏洞清單(KEV)修補紀錄後指出,
企業長期依賴的掃描、派工與人工追蹤修補模式,已跟不上當前攻擊節奏,且即使增加人力也難以補救。
研究提到,漏洞事件量自 2022 年以來成長 6.5 倍。另一方面,Google M-Trends 2026 報告也顯示,
平均可利用時間(Time-to-Exploit,TTE)已縮短至「負七天」,代表攻擊者可能在修補程式出現前就完成武器化並開始利用。在這樣的條件下,關鍵漏洞在第 7 天仍未關閉的比例反而從 56%上升到 63%,顯示修補效率的提升仍無法對應風險累積。
雖然企業每年比基準多關閉約 4 億筆漏洞事件,團隊也投入更多工時,卻仍無法縮短「最危險那一段」的暴露期。研究將此現象稱為「
人力天花板(human ceiling)」,意指
即使流程再成熟,仍會受限於人工處理速度與覆蓋範圍。
在 52 個具完整利用時間線且已武器化的漏洞樣本中,有 88%的修補速度慢於被利用速度,且其中近半在修補程式推出前就已遭武器化。以 Spring4Shell 為例,漏洞在公開前兩天就已遭利用,但企業平均需要 266 天才完成修補。Cisco IOS XE 的案例也類似,漏洞提早約一個月被武器化,平均修補時間達 263 天。
攻擊者以「天」取得優勢,防守方卻以「季」為單位回應,反映的是營運落差,而非情資缺口。
報告也點出「
人工稅(Manual Tax)」問題:當少數長尾資產無法靠人工作業有效觸及時,整體暴露時間會被拖長數倍。以 Spring4Shell 為例,平均修補時間是中位數的 5.4 倍。對基礎設施類系統而言情況更嚴峻,Cisco IOS XE 的中位數修補時間高達 232 天,遠高於端點裝置常見的 14 天內。當連最佳情境都需要八個月時,「人工稅」不再是例外,而是常態。
在風險衡量上,研究認為僅看 CVE 數量已無法反映真實風險,應改以「
風險質量(Risk Mass)」作為觀察基礎,也就是「脆弱資產數量 × 暴露天數」,用累積暴露捕捉長尾修補造成的風險堆積。另一個指標是
平均暴露窗(Average Window of Exposure,AWE),涵蓋從武器化到環境內全面修補完成的整段時間。以 Follina 為例,漏洞在公開前 30 天就被武器化,平均到第 55 天才完成修補,但 AWE 拉長至 85 天,其中長尾修補與公開前盲區合計占約 80%的暴露時間。
同時,在 2025 年披露的 48,172 個漏洞中,只有 357 個屬於可遠端利用且已被積極武器化的漏洞。研究警告,企業若將大量修補資源投注在理論風險上,反而會讓真正可被利用的缺口持續存在。
研究者進一步指出,AI 不只是新增一個需要防守的面向,更讓攻擊方的自動化能力產生質變。當攻擊代理能更快完成探索、武器化與執行,防守仍以人類節奏推進,過渡期將出現最危險的風險窗口。為縮小落差,企業需要從傳統「掃描、評分、開單、人工派工」轉向封閉迴路的風險營運,使判斷能被機器讀取並執行,同時將人類角色提升至策略與政策治理。
延伸閱讀:前 CISA 局長等多位資安領袖聯合示警:企業須重新校準風險指標迎戰 AI 漏洞潮
防護建議
- 以已遭利用漏洞清單與可被利用性驗證作為優先排序依據,避免資源被低風險項目稀釋。
- 導入暴露型指標,例如風險質量(Risk Mass)與平均暴露窗(AWE),將長尾修補納入治理與稽核。
- 針對高風險系統建立自動化修補與復原流程,降低人工派工延遲,並以政策控管取代逐案操作。
本文轉載自 BleepingComputer。