事件经过
澳大利亚内政部发布了PSPF咨询001-2026,这是一项针对所有澳大利亚政府实体的强制性指令,将frontier AI定义为将漏洞利用窗口从数天压缩到数小时的载体。该咨询明确指出,机构不需要像Claude Mythos这样的frontier模型来保持保护,而是强制要求在AI采用之前达到ASD Essential Eight成熟度等级二(用户应用程序加固和补丁)。来自ACSC的配套指导承认AI可以减少手动安全工作负载,但警告实施不当的AI会带来额外风险。
影响分析
这是第一个明确将frontier AI定义为系统性风险放大器的政府强制性网络安全指令——创造了"漏洞风暴"一词——同时要求将安全基础作为先决条件。它建立了一个分阶段模型:首先确保基础安全,其次AI辅助防御,创建了其他APAC政府可能采用的合规框架。
建议行动
如果为澳大利亚政府实体提供建议,请在任何frontier AI采用计划之前验证Essential Eight ML2合规性——特别是用户应用程序加固和补丁。根据PSPF的六步模型记录成熟度路径,用于董事会级别报告。