"44 天到零:AI 如何在 2026 年压扁了零日漏洞的反应窗口"
可用语言
整个 2010 年代,"一个月内打上补丁"被视为足够好的安全卫生习惯。到了 2026 年,这个建议已经过时。Mandiant 的 M-Trends 2026 报告显示,time-to-exploit——漏洞从被披露到被实际利用之间的时间——已经从 2020 年的 700 多天压缩到 2025 年的 44 天。更刺眼的是:28.3% 的 CVE 在披露后 24 小时内就被武器化。
本周,Google 威胁情报组(Threat Intelligence Group)还披露,他们拦截了一个尝试用大模型规划"大规模漏洞利用"行动的攻击团体,其中包括用前沿模型寻找绕过双因素认证的零日。Google 表示与中国、朝鲜相关的攻击团体"对 AI 辅助漏洞发现表现出明显兴趣"。
对普通用户而言——不只是企业——这些数字正在重画安全地图。"补丁已经发布"到"补丁必须装好"之间的窗口,现在以小时计算,而不是周。
这组数字真正在说什么
| 指标 | 2020 | 2025 |
|---|---|---|
| 平均 time-to-exploit | 700+ 天 | 44 天 |
| 24 小时内被利用的 CVE 占比 | <2% | 28.3% |
| 漏洞利用早于补丁出现 | 罕见 | 常态化 |
这三行数字里藏着三个转变:
- 漏洞利用的开发不再是瓶颈。 过去要一个小型精英团队花几周才能把一条 CVE 条目变成可用的 exploit;AI 辅助的代码分析,把这压到了数天,有时数小时。
- 攻防不对称已经反转。 防守方需要测试、灰度、再推广补丁;攻击方不需要验证什么——只要一次能用就够。
- "零日"这个词正在变得不准确。 当 exploit 来得比补丁还早,用户实际拥有的反应时间已经是负数。
AI 是怎么加速攻击者的
机理不需要靠想象——Google 本周的披露就是教科书式案例。被拦截的团体当时正在用大模型做这些事:
- 解析 CVE 条目和补丁,反推底层有漏洞的代码路径
- 生成 PoC 利用代码,供进一步打磨
- 规划多阶段攻击操作,包括针对双因素认证的绕过
- 规模化打击——把侦察自动化覆盖到数千个潜在受害者
Mandiant 报告里给出了人群层级的总结:中朝两国相关团体是 AI 辅助漏洞发现最积极的早期使用者,伊朗、俄罗斯紧随其后。
AI 并没有发明新的漏洞类别。它只是压缩了"漏洞存在"到"攻击者拿它打你"之间的时间——而对个人用户来说,这是唯一重要的窗口。
这对个人用户具体意味着什么
围绕这些数字的讨论大多集中在企业。下面是对普通用户的真实改变:
1. "下周末再更新" 不再安全
当 28.3% 的 CVE 在 24 小时内被利用,从提示出现到你点下"立即安装"之间的时间,就决定了你是否会成为目标。 一个周末的拖延,已经不再是小风险。
2. 旧设备的风险比以往任何时候都高
如果你的手机、路由器或笔记本超过了厂商的支持期限,你失去的不只是新功能——而是 AI 加速的攻击流水线正在批量收割的那些补丁。没有安全更新的设备,继续联网就是主动风险。
3. 供应链问题比品牌更重要
某个组件——一个图像库、一个蓝牙栈、一个字体渲染器——的漏洞,会蔓延到所有用了它的应用。AI 让攻击者用极低成本扫描全球软件生态,找到哪些应用打包了哪一版的脆弱库。 你日常用的主流 app,可能因为你从未听过的某个底层库被波及。
4. 认证才是新的边界
Google 拦截的那次行动,特别瞄准的就是"绕过双因素认证"。这是新的前线:攻击者知道你的密码可能早就在某个泄漏库里,所以正在投入资源攻克第二因素。在 2026 年,更强的 2FA(硬件密钥、基于 App 的验证码)比以往任何时候都更重要。
5. 网络层卫生仍然为你争取时间
即使 exploit 已经存在,攻击者也必须能"投递"它。减少暴露在公网上的攻击面——通过加密 DNS、VPN 隧道、不直接暴露 IoT 设备——能在补丁全网铺开期间给你留出余量。
这周可以做的 5 件事
1. 把所有设备的自动更新都打开
手机、笔记本、路由器、智能家居中枢。不要依赖自己记得。补丁生命周期的速度已经超过任何人的"我会去查"的习惯。
- iOS:设置 → 通用 → 软件更新 → 自动更新(全部打开)
- Android:设置 → 系统 → 系统更新 + Play 商店自动更新
- macOS:系统设置 → 通用 → 软件更新 → 自动更新
- Windows:设置 → Windows Update → 高级选项 → 接收其他 Microsoft 产品的更新
2. 停用已经不再收到安全更新的设备
查一下你手机的"支持截止日期"。如果已经过了,这台设备就是负债——不只是它自己,而是任何你在它上面登录过的账号。把它改作媒体播放器、零件捐赠,但不要再用来收邮件、网银或聊天。
3. 升级你的第二因素
如果你重要账户(网银、邮箱、社交)还在用短信验证码做 2FA,换到验证器 App(Authy、Google Authenticator、1Password),或者更理想——硬件安全密钥(YubiKey、Google Titan)。针对验证器 App 和硬件密钥的绕过,难度远高于针对短信。
4. 用密码管理器——并让它自动生成密码
如果你的密码可以被复用,它大概率已经在某个训练集里了。让密码管理器为每个服务生成 20+ 字符的随机密码,意味着单个站点被拖库,不会引发连锁。
5. 收紧网络层
加密 DNS、可靠的 VPN、不把家用设备直接暴露到公网(没有十分确定的理由,不要给 NAS 做端口转发),这些都能争取实打实的余量。多数机会主义攻击,撞上一层不透明的网络面就会熄火。
VPN 在这套防御里扮演什么角色
VPN 没办法去修补一个已经在你设备里的漏洞。但它能做的是减少有多少攻击在第一时间能抵达那段有漏洞的代码。
具体来说:
- AES-256 加密在任何网络上保护你的流量——咖啡馆、酒店 Wi-Fi、不知道还有谁连着的客房网络
- 低开销加密隧道让保护默认常开,串流和实时通话也不卡顿,你不会本能地去关掉它
- DNS 泄漏保护把"你在用哪些站点和服务"这份清单藏起来——而那正是攻击者构造个性化攻击链时第一个想要的情报
- Kill Switch 在隧道掉线的瞬间立即阻断所有流量,短暂的重连不会把你的真实地址和 DNS 暴露给本地网络
- 全球分布的服务器网络让你能挑选入口,避开敌意网络环境
- 已知恶意域名的威胁拦截会在你设备真正去取 payload 之前,先挡掉相当一部分机会主义的 exploit 投递设施
把它和上面 5 条叠在一起,攻击者的工作会变得明显更难——而考虑到 AI 已经把他们的工作变得多廉价,这才是关键。
最后
零日窗口的崩塌不是未来趋势。它在 2023 到 2025 年之间已经悄悄发生,M-Trends 2026 只是把它正式化:44 天。24 小时内 28.3%。 这不是企业统计数字,而是你随身设备的新基准。
好消息是:防御手段没有一样是新的。更新、强 2FA、密码卫生、干净的网络层。变的只是任何一条松手的代价。 把安全当成本周就做的事,而不是"我有空就去弄"——你就没问题。
文章标签