Azul 希望在 AI 之前发现你未打补丁的 JVM

Azul Systems 推出了一项免费服务，旨在帮助企业在 AI 驱动的攻击者利用漏洞之前，发现其 Java 虚拟机（JVM）中的安全风险。这项 JVM 漏洞风险评估工具专为缺乏对 Java 环境全面可见性的 DevOps 和 SecOps 团队设计。

该工具通过扫描网络来识别 JVM 实例——包括标准资产发现工具经常遗漏的嵌入式和未管理运行时。扫描完成后，它会根据 CISA 已知利用漏洞（KEV）目录和美国国家漏洞数据库（NVD）提供一份优先修复路线图。Azul 自身开发 JVM 并销售支持服务，这次免费扫描是一种引导策略，旨在转化为 Azul Core 订阅服务。

Azul 强调其安全更新策略的独特性。Azul Core 是唯一一个仅包含安全修复的 OpenJDK 发行版，不包含新功能或捆绑的错误修补程序。Eric Costlow（Azul 产品管理高级总监）告诉 The New Stack：“人们长期不更新 JVM 的原因之一是担心破坏某些东西。Core 提供的 Java 版本只包含安全补丁——它只修复安全漏洞。应用安全更新版导致应用程序中断的风险非常低，因为它只修复安全问题。”这与 Corretto、Eclipse Temurin 等其他发行版形成对比。

Azul 还利用 AI 威胁来强调及时打补丁的重要性。文章引用研究指出，AI 工具已大大缩短了漏洞利用时间。例如，2024 年伊利诺伊大学厄巴纳-香槟分校的研究表明，GPT-4 在适当框架下可以自主利用 87% 的已知关键性 CVE，每次成功利用成本约 8.80 美元。另外，AI 系统 ARTEMIS 在企业网络中表现优异，成本仅为人类渗透测试员的三分之一。

然而，Azul 的关键威胁论据依赖于 Anthropic 的 Mythos 模型——一个未公开发布、仅限少数组织使用的前沿 AI 系统。Azul 声称 Mythos 能自主发现漏洞并生成利用路径，但 Costlow 承认他们并未实际测试该模型：“它被很多政府限制，目前只对选定组织开放。”这意味着 Azul 使用一个自身未经测试的模型来构建威胁叙事。

实际评估工具运行数天，对网络性能无影响。它识别全栈中的 JVM 版本和年龄，包括应用服务器、无服务器容器和数据库。输出包包括按风险层级、发布者和 Java 版本分类的安全仪表板；与真实威胁数据交叉引用的 KEV 和 CVE 暴露分析；终止生命周期的运行时识别（如仍在生产环境中运行的 Java 5、6 和 7）；以及补丁时效差距报告。

该评估还覆盖 PCI-DSS、SOX、HIPAA、DORA、NERC CIP 和 FedRAMP 等法规要求。Costlow 指出：“许多 PCI DSS 领域的人本应打补丁，但并未执行。如果八年未更新，问题会非常严重。”而 Crane 补充说：“典型评估显示，往往只有两三个 Java 版本承担了大部分风险，这使得缓解措施比预想中更可行。”

该评估可通过 Azul 官网及合作伙伴免费获取。