Volkan Erturk把三个原本各自发货的验证工具捏到了一起,然后给这个组合装上一个完全自主运行的引擎。这位Picus Security的联合创始人兼首席技术官没有在台上画饼,而是直接端出了一个正在运行的系统——Picus自主暴露验证平台。他在发布当天的一句话很快被安全团队拿去当作检查清单:“找到暴露面从来都不是最难的部分,难的是对正确的问题动手:那个能防御的决策是什么。”

Picus这次的动作不是常规产品升级。它把入侵与攻击模拟、自主渗透测试和暴露验证三种通常需要分别部署的能力,合并进了一个单次自动闭环。平台要回答的只有一个问题,但它让安全负责人夜不能寐:当某个高分漏洞披露出来时,对手到底能不能真的穿透我们已在运行的那些控制措施?Picus给出的逻辑很直接:不要看严重性评分,直接跑一遍攻击链,看看在哪一步被拦住。

打开网易新闻 查看精彩图片

这种焦虑在当下被人工智能急剧放大。攻击者现在能在几小时内把新漏洞武器化,而同一天全球平均有大约132个CVE被公布。安全团队面对的已经不是要不要补,而是补哪个。Picus在新闻稿里用的那个数字令人后背发凉——一旦时间窗口被压缩到小时级,任何基于“过几天再测”的流程就自动失效。于是平台的核心设计就指向了即时性:漏洞公开的瞬间,验证就启动。

整个平台的底层是一条三个模块首尾相连的流水线。Picus入侵与攻击模拟模块负责持续测试端点检测、安全信息与事件管理、防火墙和Web应用防火墙这些已经部署的防线,不仅要看哪些攻击被阻止、哪些被检测到,还会直接给出修复建议并重新测试,直到证实缺口关闭。接着,自主渗透测试模块拿起真实的漏洞利用链,对着可达资产跑一遍,验证攻击者到底能摸到哪些东西,而不是去猜一个漏洞评分能造成多大破坏。

第三个模块是最新加入的暴露验证,专门解决前两个模块够不着的漏洞。它的做法是把每个漏洞拆解成攻击者必须执行的利用步骤,然后在客户的整条控制栈上逐步检验,从资产到资产确认这条路径能否走通,以及究竟是哪一层控制拦住了它。针对那些没有安全利用代码、无法单独进行渗透测试的受限资产和漏洞,这个模块也能在CVE公布的同一刻启动检查。如果补丁要等数周才能推出,它还会为攻击链的每一步推荐一个补偿控制措施。

驱动这一切的是Picus Swarm,一组由五个专用智能体组成的协同系统,分别负责发现、利用、验证、行动部署和报告,由一个叫作Numi AI的引擎统一调度。企业可以在每个工作流步骤上单独设定自主程度——手动、有人监督的自动、完全自主——并且每一步都留下完整的审计轨迹。这种设计让安全团队能够渐进地交出控制权,而不是一上来就面对一个黑盒。

一家财富100强金融服务公司的使用结果被Picus当作现实佐证。一次常规模拟无意间曝光了一个15小时的检测日志记录延迟,而这个缺口藏在一款主流扩展检测与响应工具的内部,没有任何仪表盘发出过告警。按照该公司的描述,他们原本以为自己的检测覆盖是固若金汤的,而且从纸面上看确实如此。但Picus不仅找出了这个没人标记的盲区,还在修复完成后重新验证,证明缺口确实被封堵。该公司首席信息安全官直接承认:“我们觉得自己的检测覆盖很扎实,数据上看也确实达标。但Picus让我们看到了一个没有一个仪表盘标记过的缺口,然后证明我们补上之后它就真的消失了。”

部署数据进一步支撑了这套闭环逻辑。Picus称,在接入系统后的90天内,客户的安全控制有效性中位数翻了一倍,平均修复时间降低了89%。平台已经集成了超过75种工具,持续吞入各类遥测数据。这些数字的指向很明确:不是发现更多漏洞,而是让已知漏洞不再形成真正的暴露路径。

从时间线看,Picus这次发布踩在了一个行业集体转向的节点上。当AI同时加速攻击和防御时,单点工具拼凑的验证方式已经支离破碎。Picus的解法是让验证自己变成一条能自主运转的流水线,把“能不能被利用”这个模糊问题,转化为一步一步的实网测验。而那条被Fortune 100公司发现的15小时日志延迟,恰好证明了仪表板的覆盖率数字和真实攻击面之间的距离,以及一个自动闭环能怎样把它量化为具体的分钟数,再彻底抹掉。