GSS 資安電子報 0245 期【單一漏洞不算什麼?AI 如何幫駭客串聯「完美攻擊路徑」】

訂閱電子報
2026-07-01 00:00
翻譯及整理:叡揚資訊 資安直屬事業處
 

當新的漏洞一公布,這場時間賽跑就正式開始了。

資安團隊立刻動起來,忙著盤點曝險、分級處置、確認受影響的系統,並評估多快能完成修補。他們很清楚,時間一分一秒都在流失。與此同時,駭客也在做同樣的事。他們看著相同的漏洞通報、監控相同的資訊,但他們問的問題簡單得多:「誰家系統還沒補好?」

這就是 CVE(常見漏洞與曝險)棘手的地方。它本來是幫防禦方追蹤、應對已知漏洞的,但同時也變相成了給駭客的「信號彈」。一旦 CVE 公開,它就不再只是防禦工具,而是變成了公開資訊。而這類「共享知識」,偏偏是駭客最擅長拿來發動攻擊的武器。

大家很容易以為駭客有什麼秘密武器,但其實不然。在大多數情況下,他們用的資訊來源、工具和技術,跟大家沒什麼兩樣。真正的差別只在於:他們一拿到資訊,能用多快的速度、多系統化的方式直接發動攻擊。

雖然駭客確實會在深網或暗網研究 CVE ,但多數時候,他們也是透過跟防禦方一模一樣的公開管道來掌握漏洞 。有些更厲害的頂級駭客組織,甚至在漏洞還沒公開前,就已經盯上並開始研究這些弱點了。

當世界還在努力適應「Mythos 效應」時,這場防禦戰早就不能用「幾天」或「幾週」來衡量了。前沿 AI 模型向我們揭示了一個未來:漏洞的挖掘、攻擊程式的開發、目標的鎖定,速度都會變得更快、規模更大,而且幾乎不需要人工介入。這徹底改變了防禦方的遊戲規則。現在的關鍵不再是「知道有這個 CVE 存在」,而是要在駭客動手前,搶先判斷出哪些漏洞最致命、最需要先處理。

 

前沿 AI 正在瘋狂壓縮漏洞被駭客利用的時間

Claude Mythos 等前沿 AI 模型的出現,代表整個資安威脅環境的大轉變——AI 正在大幅降低駭客利用漏洞的技術門檻。對防禦方而言,這帶來了三個層面的衝擊:駭客找漏洞更快、測試更快、產出攻擊程式也更快。這讓系統從「漏洞暴露」到「被成功入侵」的時間窗口被壓縮得更短。

from vulnerability to exploitation

同時,這也讓「漏洞鏈結(Vulnerability Chaining)」的風險飆升。在現實的攻擊中,單一漏洞往往無法代表事件的全貌。駭客更常把好幾種弱點串在一起,先拿到最初的進入權限,再一步步摸進更深層的系統進行滲透與控制。

舉例來說:駭客可能先利用一個對外暴露的網頁應用漏洞鑽進去,接著串聯弱密碼驗證、過大權限、或是雲端設定錯誤,最後大搖大擺地拿走敏感資料。單看任何一個弱點,可能都覺得沒什麼大不了;但只要被串在一起,就成了一條致命的攻擊路徑。

這就是為什麼在 Mythos 時代,排定修補優先順序會這麼難。防禦方不只要處理海量漏洞,還要防範這些漏洞被千變萬化地組合、打包,進而威脅到企業核心系統或第三方供應鏈。

 

這絕非紙上談兵。駭客早就開始嘗試將 AI 融入他們現有的戰術、技術與攻擊手法(TTPs)中。據報導,進階持續性威脅(APT)組織已經在如「Hexagonal Rodent」等行動中運用 AI 平台,生成更具針對性的釣魚內容並協助滲透嘗試。在另一個案例中,攻擊者據稱利用 AI 生成的語音進行語音釣魚(vishing)攻擊,成功誘使受害者轉帳高達 2,500 萬美元。不論 AI 是被用來做釣魚、社交工程還是開發攻擊程式,趨勢都很明顯:成本更低、速度更快、而且攻擊規模更大。

這也是為什麼像 Mythos 這樣的模型不容忽視。AI 驅動的工具不僅能輕鬆抓出單一漏洞,還能自動看穿哪些弱點可以「打包利用」,串成一條完整的攻擊路線。因此,防禦方的思維絕不能再停留在「單一 CVE 本身」,必須拉高格局,從曝險程度、資產重要性、業務情境以及第三方依賴關係等全盤脈絡來評估風險。

當漏洞數量呈爆炸性成長,資安團隊不可能逐一修補所有問題。真正的挑戰是:如何在第一時間快速判斷,哪一個風險現在最關鍵、最需要優先處理。

 

攻擊者不會等待所謂的「最佳時機」

我們習慣把漏洞處理分成漂亮的幾個階段:發現、通報、修補、解決。但駭客的腦袋根本不是這樣轉的,不論 CVE 是新是舊,他們在乎的是如何以最低成本換取最大的攻擊效益與回報。

只要有機會,駭客就會出手,即便那是個存在了二十年的老漏洞。有時攻擊會發生在漏洞公開前,但更常見的是在原廠剛釋出補丁或 CVE 剛發布之初。只要釋出的資訊足以讓人理解漏洞缺陷,哪怕只是部分細節,就很可能已經有人開始研究如何將其轉化為攻擊手段了。

這也是為什麼從漏洞揭露到被實際利用的時間差,短得讓人措手不及。駭客絕非單純碰運氣,而是隨時盯緊動態,並有強烈的動機在第一時間出手利用。

 

攻擊者如何從公開訊號中優先挑選 CVE

駭客找尋有用漏洞最有效的方法,往往也最簡單:盯緊公開資訊。這包括原廠公告、漏洞資料庫、GitHub 安全通知、郵件論壇和研究人員的部落格。這些情資開誠布公,通常就是資安團隊天天在看的東西。

兩者唯一的差別,就在於「自動化」。

駭客會利用系統不間斷地撈取剛出爐的 CVE,自動分類標籤,並直接根據「潛在的攻擊回報」來排定優先順序。如果某個漏洞影響範圍廣、好下手、又是對外暴露的系統,就會被立刻提到最優先級。

這就像我們在 2023 年看到的 MOVEit 外洩事件一樣,該起事件由 Cl0p 勒索軟體組織發動,波及了約 2,700 家組織與 9,100 萬人。即便在事件曝光並被廣泛報導後,Cl0p 仍持續把新受害者加入他們在暗網上的資料外洩網站(DLS),這場攻擊足足肆虐了數個月。在該案例中,研究人員認為 Cl0p 早在漏洞公開揭露前就已經摸熟了該弱點,在大家大規模遭到利用前,就搶先取得了絕對的時間優勢。

 

修補程式揭露的資訊,往往比想像中更多

當原廠釋出修補程式,雖然解決了問題,卻也留下了線索。駭客技巧性地拿更新後的版本去跟舊版做比對,就能看出哪裡被動過手腳。這個手法就叫做「Patch Diffing(補丁比對分析)」,能幫他們快速鎖定存在弱點的程式碼。順著這些蛛絲馬跡,駭客能回推漏洞的成因和觸發條件。

這就是為什麼有時候原廠才剛出修補包,攻擊就馬上鋪天蓋地而來。修補程式確實保護了手腳快的用戶,但對駭客來說,這同時也是一份理解漏洞的「大補帖(路線圖)」。對於拖延修補的企業來說,這段高風險窗口相當致命:漏洞細節已被攤在陽光下,而你的系統卻還開著大門。

在被強烈壓縮的漏洞利用週期中,哪怕只慢了一步,結果都天差地別。

 

尋找攻擊目標,本質上是一場規模化競爭

一旦駭客摸透了漏洞,下一步就是掃描網際網路來定位目標。他們利用能快速探測大範圍網路的工具,尋找暴露的服務、開放的通訊埠和特定的軟體版本。如果某個漏洞影響特定產品或版本,他們往往能在極短時間內拉出潛在目標名單。

到了這個階段,駭客純粹是在挑軟柿子吃。一台被遺忘的伺服器、沒上補丁的設備或對外暴露的服務,單純因為「顯眼」就會成為入侵的破口。

而在現代企業環境中,這些破口甚至不一定在內部,往往延伸到子公司、雲端架構和第三方供應商的環境中。

 

有些攻擊者會自行尋找漏洞

雖然許多駭客依賴公開資訊,但更進階的組織會採取不同策略:在漏洞尚未被公告之前,就主動進行挖掘與發現。這可能包括對軟體進行逆向工程、分析應用程式在異常條件下的行為,或深入程式碼中尋找細微的缺陷。這類工作雖然更耗時且技術門檻更高,但也更有機會發現尚未被公開的零時差漏洞,帶來極高價值的成果。

「模糊測試(Fuzzing)」就是威脅行為者常用的一種技術。透過向軟體輸入大量非預期或格式異常的資料,研究人員與攻擊者可以誘發程式當機或異常行為。這些當機現象往往能揭示更深層的問題,其中部分甚至可能進一步被利用成為可被攻擊的漏洞。

 

訊號無所不在

並非所有漏洞線索都來自正式的 CVE。在許多情況下,攻擊者其實只需要一個起點,而不需要完整的細節資訊。

威脅行為者會透過開源專案、開發者社群討論,以及更廣泛的資安圈動態來觀察變化。一些看似不起眼的資訊,例如 GitHub commit 中的微小修改、簡略提及「改善輸入驗證」的說明,甚至是一場暗示新研究方向的研討會分享,都可能成為足以展開進一步研究的線索。

漏洞本身也存在市場機制。

有些漏洞並不是被「發現」,而是被「取得」。在某些市場中,漏洞利用程式可以被買賣,在封閉群組中交換,或透過初始存取仲介(Initial Access Brokers, IAB)進行私下媒合。這種情況在影響範圍廣泛、具高衝擊性的系統漏洞上尤其常見。

雖然並非所有攻擊者都參與這樣的生態系,但它仍在一定程度上加速了特定漏洞利用的出現與擴散。

 

為什麼攻擊者總是看起來永遠領先

從外部視角來看,攻擊者的行動速度似乎快得不合常理。但實際上,他們只是具備幾個關鍵優勢:

  • 他們大規模採用自動化手段
  • 他們專注於「可被利用」的目標
  • 而且不需要面對修補測試、服務中斷風險,或跨部門協調等營運限制

相較之下,防禦方必須同時處理上述所有複雜問題。這種不對稱性自然形成了一個落差,而攻擊者正是非常擅長在這個落差中運作的一方。

前沿 AI 的出現,則可能進一步放大這個差距,讓漏洞發現與利用開發變得更具規模性、更可重複,並且更容易被取得與使用。

 

對防禦方而言,CVE 優先排序的真正意義

並非每一個 CVE 都代表相同等級的風險。有些漏洞難以被利用、影響的系統並未對外暴露,且需要非常特定的條件才能觸發。相對地,也有一些漏洞不僅容易被利用,還廣泛存在於對外暴露的系統中,甚至已經在攻擊者社群中被討論或積極鎖定。

這些才是最關鍵的風險項目。而真正的挑戰,在於如何辨識哪些屬於這一類。

單純依賴 CVE 的嚴重性分級已經不再足夠。資安團隊需要更完整的情境脈絡來進行判斷,例如:

  • 該系統是否直接暴露於網際網路?
  • 是否已有可用的漏洞利用程式(exploit code)?
  • 攻擊者是否正在討論或實際利用該漏洞?
  • 該漏洞是否影響關鍵資產或重要供應商?

缺乏這些情境脈絡時,組織很容易把時間耗費在理論性風險上,卻忽略了那些更可能演變成實際事件的漏洞。

換句話說,這個挑戰已不再只是單純的漏洞管理,而是必須在時間被壓縮的環境下,進行網路風險的優先排序。

 

Bitsight 能夠如何提供協助?

這正是 Bitsight 能夠發揮價值的地方:協助將焦點從單純追蹤漏洞,轉向理解實際的風險。

  • Bitsight Vulnerability Intelligence 包含 DVE(Dynamic Vulnerability Exploit )分數,能依據漏洞被實際利用的可能性來進行優先級排序。透過將漏洞情報與真實威脅訊號結合,資安團隊可以更精準聚焦在最可能轉化為實際攻擊的曝險項目上。
  • Bitsight Security Posture Management(SPM)協助企業將曝險情境與威脅脈絡連結起來,建立更完整的網路韌性視角。這不僅讓團隊能判斷哪些問題最需要優先修補,也能進一步評估修補與資安投資是否真的在長期降低風險。
  • Bitsight Third-Party Risk Management(TPRM)則將這種可視性延伸至供應商與合作夥伴,協助企業掌握新揭露或正被積極利用的漏洞,如何透過外部關係鏈引入潛在風險。 同時,Bitsight 的 Dark Web Intelligence for Supply Chains 進一步補強供應鏈風險視角,透過暗網威脅活動、資安事件跡象與新興風險訊號,揭露第三方生態系中的潛在暴露面。

當攻擊者持續尋找可被利用的曝險時,Bitsight 則協助防禦方辨識哪些風險最有可能真正演變為實際攻擊事件。

 

結論

威脅行為者不會依賴單一技術來尋找漏洞。他們會監控漏洞揭露資訊、分析修補內容、掃描網際網路、追蹤研究人員動態,並盡可能將整個流程自動化。他們所使用的大多數資訊其實都是公開的,真正的差異在於速度、專注度與優先排序方式。

對防禦方而言,目標早已不只是「知道某個 CVE 存在」,而是進一步判斷它是否重要:是否可能被利用、是否已暴露於外部環境,以及是否與自身組織或第三方生態系相關。

在 Mythos 時代,防禦方無法再單純依賴嚴重性分數來管理漏洞風險。能夠最快適應的組織,將是那些能結合威脅情報、曝險情境與業務影響,在攻擊者之前判斷出「什麼才真正重要」的企業。

 

若對 Bitsight 有興趣歡迎留下資訊,將會有專人與您聯繫 ➤ https://www.gss.com.tw/bitsight-product

相關文章

保險業資安挑戰升溫!叡揚資訊攜 Bitsight 推動企業供應鏈資安治理新標準

台灣知名保險平台服務商近日爆發重大資安事件,駭客聲稱竊得逾 20GB 機密資料,並揚言公開,恐波及超過 152 萬筆保戶個資。這起事件不僅震撼保險產業,更揭示出企業面臨的資安風險早已超越企業本身,過去所信任的軟體系統已不再安全,第三方平台與供應商成為駭客攻擊的新破口。
2025/06/19

叡揚資訊攜手復興高中舉辦「程式安全黑客松」 落實產學合作、強化資安人才即戰力

為落實與學界合作並響應政府推動資安人才培育政策,叡揚資訊有限公司於5月3日至4日參與由教育部資訊安全人才培育計畫主辦、臺北市立復興高級中學協辦的「北區高中職程式安全黑客松工作坊」,並擔任活動贊助單位,提供資安講師資源、實作工具支援與相關活動物資
2025/06/04

「2025 安全達人養成計劃」正式開放報名 歷屆參加者分享實戰經驗邀你挑戰最強資...

由叡揚資訊主辦的《安全達人養成計劃》2025 年度活動已正式啟動。即日起至 6 月 30 日止,參與者可免費報名並使用 Secure Code Warrior(SCW)線上安全程式培訓平台進行線上學習,並於 6 月 23 日至 6 月 27 日參加「線上資安戰士挑戰賽」。
2025/06/02

叡揚資訊與復興高中簽署產學合作備忘錄 攜手培育資安新世代

叡揚資訊股份有限公司與臺北市立復興高級中學於近日正式簽署產學合作備忘錄,雙方將在資訊安全教育、人才培育及實習計劃等方面展開全面合作。此舉不僅能為學生提供多元化的學習體驗,更能有效提升學生未來升學及就業所需的專業技能。
2025/05/15