技術的な説明
4月14日にリリースされたSANS/CSA/OWASP緊急ブリーフィングは、AI駆動型の脆弱性発見の系統的影響を数値化しています。開示から確認された悪用までの平均時間は、2019年の2.3年から、2026年には1日未満に短縮されています。AnthropicのClaude Mythos (Preview)およびProject Glasswingは、27年前のOpenBSD脆弱性を含む、すべての主要OSおよびブラウザにわたる数千のゼロデイ脆弱性の自律的な発見を実証しました。ブリーフィングでは、AI ツールがパッチ比較分析とリバースエンジニアリングを大規模に加速させるため、すべてのパッチが現在、悪用の青写真として機能すると警告しています。これは単一のCVEではなく、系統的リスク状態として分類されています。
攻撃経路
AI駆動型の脆弱性発見ツールは、組織的なパッチ適用サイクルを超える速度で実行可能な悪用コードを生成できます。AI加速パッチ比較分析は、公開されたすべてのパッチを攻撃者にとってほぼ即座の悪用ロードマップに変換します。従来の30日間のパッチウィンドウは、重大なシステムにとって非常に危険になっています。
影響を受けるシステム
公開されているがパッチが未適用のCVEを持つすべてのエンタープライズシステム。重大な脆弱性に対するパッチサイクル時間が数時間を超える組織が対象になります。AIエージェントインフラストラクチャを実行している組織については、特別なリスクがあります(攻撃面の拡大)。
緩和策
SANS/CSA Mythos-Readyブリーフィングの10個のCISO診断質問を実行してください。重大な脆弱性のパッチSLAを24時間以下のターゲットに加速させてください。AIエージェントインフラストラクチャ用に自動化された脆弱性からパッチへのオーケストレーション実装してください。13項目のリスク登録を現在のセキュリティプログラムのギャップに適用してください。資産インベントリとクロス相関された リアルタイム脅威インテリジェンスフィードを確立してください。