事件经过
英国国家网络安全中心于2026年5月11日发布了题为"使用AI模型发现漏洞时需要问的10个问题"的指导文件,警告组织机构仅仅发现更多漏洞并不能改善安全状况,如果没有适当的分类、优先级排序和修复流程,可能会使情况变得更糟。该指导强调AI安全不是一个独立的学科,而必须嵌入到现有的网络安全框架和运营治理中。
影响分析
这是NCSC首个将AI漏洞发现视为董事会级别学科而非工具选择的指导文件。该指导指出,在2025年分配的40,000多个CVE中,只有约400个被积极利用,约40个在首次使用时为零日漏洞——这突出了优先修补胜过批量发现的必要性。该框架推动组织在采用AI漏洞扫描器之前考虑数据暴露风险、权限、托管模型的管辖权和预算影响。
建议行动
安全团队应在部署AI漏洞发现工具前审查这个10问框架,确保漏洞管理流程能够处理增加的发现量,优先考虑外部攻击面扫描,并使用AI和人工验证来验证检测结果。组织还应评估是否有必要使用AI模型,因为基础网络卫生(修补已知漏洞、资产管理)仍然是ROI最高的安全投资。