當漏洞發現快如閃電，企業該如何「跑贏」威脅？

文章撰寫：奧登行銷團隊

根據全球最大漏洞回報平台 HackerOne 技術長 Alex Rice 的最新報告，我們正處於一個安全防禦的臨界點。數據顯示，2026 年 3 月的漏洞提交量達到了 46,947 件，同比驚人地增長了 76%。然而，企業的漏洞修復速度僅增長了 19%。這項數據背後隱藏著一個關鍵訊息：資安威脅的本質正在改變，而防禦方的腳步已明顯落後。

漏洞不再稀缺，挑戰在於「修復吞吐量」

過去，發現漏洞需要頂尖駭客數週的手工挖掘；現在，透過 AI 輔助，研究人員能迅速串聯複雜的漏洞鏈。這導致企業安全團隊面臨前所未有的「待辦清單」。觀察到，許多企業並非不重視安全，而是被淹沒在海量的告警與漏洞中。傳統「發現後修復（Find-and-Fix）」的點狀模式，在 AI 時代已力不從心。我們認為，企業現在最需要的不是更多的掃描器，而是「持續威脅暴露管理（CTEM）」的整合能力。現在勝出的組織，關鍵不在於找出漏洞的數量，而在於處置效率。誰能最快完成關鍵漏洞的辨識、驗證與修復，誰就能掌握主動權。

Phil Venables 對此曾有過精闢的見解：在資安防禦中，速度就是一切。

數據背後的真相：信號依然純淨，但威脅更深

當漏洞數量激增時，人們通常會懷疑是否充斥著無效雜訊。然而數據顯示，漏洞的有效驗證率穩定維持在 25% 左右。這意味著有效、可被利用的漏洞絕對數量正在大幅增加。

更令人擔憂的是，嚴重與高風險漏洞的比例從過去的 26-28% 上升到了 32%。這顯示 AI 輔助下的研究人員並非只是「找得多」，而是「鑽得深」。他們利用 AI 串聯多個低風險弱點，形成具有高破壞力的攻擊鏈，觸及了過去自動化掃描與人工審核都難以發現的死角。

正在成形的「修復危機」

儘管漏洞發現量增加了 76%，企業的修復吞吐量卻僅提升了 19%。這種不對稱的增長導致了資安積壓（Backlog）達到歷史新高。

過去，資安風險的計算建立在「漏洞發現是困難且昂貴的」假設上；如今，當熟練的研究人員能利用 AI 代理在幾小時內生成利用程式時，這個假設已徹底瓦解。漏洞發現不再是瓶頸，修復週期才是。

AI 的角色：是擴大機，而非替代品

報告釐清了一個觀念：目前的趨勢並非 AI 模型自主尋找 bug，而是成千上萬的人類研究人員利用 AI 強化其原有的技術能力。這是一種「能力階梯的提升」—— 原本擅長身分驗證邏輯的研究人員，現在能同時測試十倍以上的目標。

對防禦方而言，這意味著必須建立同樣具備 AI 規模化能力的驗證層，否則整個資安防禦管道將會因過載而癱瘓。

給技術領導者的行動指南

為了應對這場結構性轉變，Alex Rice 提出了以下關鍵策略：

• 為「速度」重新設計流程： 傳統的季度滲透測試或月度掃描已過時。防禦流程必須實現自動化驗證與直接的工作流整合，減少人工審核帶來的延遲。

• 系統化解決漏洞類別： 既然 AI 會成批發現同類漏洞，修復策略就應轉向架構層級。解決一類問題（例如特定的框架漏洞），比修復五十個獨立的漏洞點更具效益。

• 縮短「發現到修復」的週期： 在攻擊者能於數小時內武器化漏洞的今天，速度是唯一的防禦。

• 擁抱外部視角： 外部研究人員帶來的多元化觀點，在 AI 的放大下，能提供企業內部團隊無法企及的全面攻擊面視野。

總結

我們正處於漏洞發現、報告、驗證與修復機制的結構性轉型期。未來的兩年，決定一家企業是否安全的指標，將不再是它發現了多少漏洞，而是它「驗證與修復漏洞的速度有多快」。漏洞發現的問題正在被解決，現在，該是解決「修復危機」的時候了。