印度電腦緊急應變小組 (CERT-In) 發布了新的指導方針，要求各組織在發現互聯網暴露系統中存在的關鍵安全漏洞後 12 小時內，在「可行」的情況下修補這些漏洞，以防範潛在威脅，這些威脅源於威脅行為者濫用人工智慧 (AI) 工具和大型語言模型 (LLM) 來自動發現和利用漏洞，並提高網路攻擊的規模和速度。

CERT-In在周一發布的一份 38 頁的藍圖中表示：「人工智慧輔助網路攻擊可以減少對手識別、利用漏洞、暴露的服務、薄弱的身份、不安全的 API 和配置錯誤的系統所需的時間。隨著各組織越來越依賴互聯的數位基礎設施、雲端生態系統、軟體供應鏈、營運技術和人工智慧平台，人工智慧網路威脅的潛在影響在各個領域持續增加。」

隨著威脅行為者開始越來越依賴人工智慧來完成各種任務，包括攻擊面發現、漏洞分析、逼真的網路釣魚內容，甚至惡意軟體生成，他們可以顯著縮短攻擊準備時間，並繞過傳統的安全控制。

此外，人工智慧系統本身也可能成為惡意攻擊的目標，例如透過快速注入、資料外洩漏洞、越獄技術、模型操​​縱、訓練資料投毒、模型竊取和編排管道破壞等手段，從而有效地破壞其機密性和完整性。

CERT-In 警告稱，各組織應預料到攻擊利用時間線將大幅縮短，攻擊將變得自主化，因此需要採取更嚴格的網路安全措施，包括持續的威脅評估、主動的風險降低和營運準備。網路安全機構概述了一些防禦原則，旨在減少風險敞口並更好地應對人工智慧輔助的網路威脅，以下列出部分原則——

✔  假設入侵已發生，並做好快速偵測、遏制和從入侵場景中恢復的準備。

✔  採用零信任方法，強制執行持續驗證和最小權限存取。

✔  實施縱深防禦策略，在基礎設施中實施分層控制，以消除單點故障，最大限度地減少成功入侵造成的整體影響。

✔  監控並降低安全漏洞風險。

✔  將安全設計理念融入系統、應用程式和人工智慧工作流程中。

✔  在網路安全事件和中斷情況下保持業務連續性。

✔  在敏感資料和對營運至關重要的資料的整個生命週期內保護其安全。

✔  透過軟體物料清單 (SBOM)、溯源驗證和評估，降低第三方軟體、人工智慧模型和相依性所帶來的軟體供應鏈風險。

✔  透過紅隊演練、漏洞評估、滲透測試和獨立審計來測試安全措施對不斷演變的威脅的有效性。

✔  根據操作關鍵性和威脅暴露程度來決定控制措施的優先順序。

✔  建立關於人工智慧系統使用的正式治理機制。

✔  保持對人工智慧系統、整合和運作行為的可見性。

CERT-In表示：「各組織應實施分層、基於風險且持續驗證的技術控制措施，以降低遭受人工智慧輔助網路威脅的風險。控制措施應優先保護面向互聯網的系統、關鍵業務應用程式、身份資訊、雲端環境、應用程式介面 (API)、敏感資料、人工智慧系統和營運基礎設施。」

該機構還敦促各組織採用“持續的、基於風險的漏洞和修補程式管理實踐”，以減少因安全漏洞、配置錯誤、不安全的API、公共存取服務以及薄弱身分資訊而帶來的風險。為此，對於影響面向互聯網和關鍵系統的已知已被利用的漏洞，應在12小時內（如適用）進行修復。其他基於風險的補救時間如下 -

關鍵外部暴露漏洞：1 天內

✔  已知已被利用的內部系統漏洞：除非實施並記錄其他緩解措施，否則將在 1 天內進行修復。

✔  影響高價值系統的關鍵內部漏洞：3 天內

✔  高危險漏洞：依風險優先級，5天內處理完畢。

在沒有修補程式可立即使用的情況下，建議實施臨時緩解措施，例如隔離、存取限制、WAF/API 保護、增強監控或停用功能，直到修復程式發佈為止。

印度電腦緊急應變小組 (CERT-In) 表示：「鑑於人工智慧輔助網路威脅的快速演變，各組織應透過持續的審計、監控、測試和協調的網路安全治理，不斷重新評估風險敞口、驗證安全控制、加強復原能力並提高營運準備能力。」

在 CERT-In發布諮詢報告一個月後，該藍圖出爐。該報告警告稱， Anthropic和OpenAI的前沿人工智慧模型的網路能力日益增強，並指出它們的「雙重用途」可能會「降低惡意網路行為者的准入門檻，並被用來加速攻擊執行、自動化利用工作流程和擴大網路攻擊規模」。

報告還指出：「緊跟人工智慧驅動的前沿網路安全發展步伐對於維護網路韌性至關重要。基礎網路安全控制措施仍然至關重要，必須嚴格執行。」

資料來源：https://thehackernews.com/2026/05/cert-in-mandates-12-hour-patching-for.html