事件经过
CISA于2026年6月10日发布了约束性运营指令26-04"基于风险优先处理安全更新",该指令超越了BOD 19-02和BOD 22-01。该指令规定所有联邦文职行政部门(FCEB)机构必须在三个日历日内修复最关键的漏洞类别——这是对先前时间表的重大压缩——明确由AI加速的漏洞利用驱动。该指令建立了四个风险标准:公开披露状态、KEV列表、攻击者自动化潜力,以及攻击者是否可以获得资产的控制权。三日窗口适用于符合最高风险阈值的漏洞。
影响分析
BOD 26-04是具有约束力的联邦安全指令,明确围绕AI启用的威胁加速而框架化。它将联邦补丁窗口压缩至三天以应对最关键的缺陷——这一标准商业运营商和关键基础设施提供商将面临压力去匹配。它还表明CISA正式承认AI驱动的攻击者以机器速度运作,为整个部门的更紧凑的时间表提供合理性。该指令影响联邦承包商和供应商必须如何处理其自身的补丁管理,以保持联邦业务。
建议行动
FCEB机构必须立即为最高风险漏洞实施3日修复窗口。联邦承包商和供应商应审查其漏洞披露和补丁支持SLA,以与BOD 26-04时间表保持一致。商业组织应根据新的联邦标准对比其自身的补丁周期。