安全团队去年关闭了4亿个漏洞工单,比四年前多了6.5倍。但高危漏洞7天内未修复的比例,从56%涨到了63%。
这不是某个公司的个案。Qualys威胁研究单元分析了10000家企业、累计10亿条CISA已知漏洞修复记录,时间跨度四年。数据指向一个尴尬的结论:人力投入的增长,已经触到了结构性天花板。
负七天:攻击者比补丁跑得更快
谷歌M-Trends 2026报告里的一个数字让安全圈集体沉默:Time-to-Exploit(漏洞利用时间)已经跌至负七天。翻译成人话——攻击者在厂商发布补丁之前,就完成了武器化。
Qualys追踪了52个有完整时间线的高危漏洞,88%的修复速度慢于被利用速度。Spring4Shell(CVE-2022-22965)是个典型样本:攻击者提前两天动手,企业平均修复周期266天。Cisco IOS XE漏洞更离谱,武器化比补丁早一个月,企业平均花了263天才关闭。
攻击者的优势以天计算,防御者的响应以季度计算。这不是情报没跟上,是运营模型跟不上了。
研究团队在报告里造了个词:"human ceiling"(人力天花板)。意思是,你再招人、再加班、再优化流程,也跨不过这道坎。约束条件不是努力程度,是架构本身。
6.5倍工单量,换不来1%的改善
2022年以来,漏洞数量涨了6.5倍。企业安全团队的应对方式是堆人力、堆工时——结果是每年多关4亿个工单,但关键指标反而恶化。
问题出在度量方式。大多数企业的安全仪表盘奖励"补丁冲刺":本周关了多少CVE,本月修复率百分之几。但真实的攻击面不是CVE数量,是累积暴露窗口——一个漏洞从公开到修复之间,系统裸奔的总时长。
攻击者从来不看仪表盘。他们盯着那些"已经公开两百天、但还没打补丁"的老漏洞。防御方在跑短跑,对手在跑马拉松,而且专挑你掉队的段落超车。
AI的加入让局面更复杂。研究作者Saeed Abbasi在报告里提了个反直觉的观点:AI本身不是新增的攻击面,最危险的窗口期是"AI驱动的攻击者 vs 人类防御者"这段过渡期。不对称程度会达到历史峰值。
闭环自治:从工单工厂到风险运营
Qualys给出的解法是"autonomous, closed-loop risk operations"(自治闭环风险运营)。简单说,就是让系统自己发现、自己评估、自己修复,人只负责设定规则和兜底。
这个概念不算新。但过去没人能用10亿条真实修复记录证明:人力模型确实走到了尽头。数据摆在这儿——再线性增加投入,边际收益已经归零。
有个细节值得玩味。研究团队在分析Spring4Shell案例时发现,部分企业的修复速度能压缩到两周内,但行业平均仍拖了266天。差距不在技术能力,在组织流程的响应带宽。头部玩家和长尾玩家的分化,比想象中更极端。
安全行业的叙事习惯把问题归结为"意识不足"或"预算不够"。这份报告的数据在拆台:预算涨了,人头加了,意识培训年年做,但核心指标在倒车。问题被误诊了,药方自然无效。
当攻击者的武器化周期从30天缩到7天再缩到负7天,防御者的组织形态却和二十年前没本质区别——工单队列、人工审批、周报复盘。这种错配,才是88%漏洞追不上补丁的底层原因。
研究团队最后抛了个问题:如果AI攻击者已经实现"发现即利用",人类防御者的组织形态,还能撑几个季度?
热门跟贴