Azul 希望在 AI 之前發現你未打補丁的 JVM

Azul Systems 推出了一項免費服務，旨在幫助企業在 AI 驅動的攻擊者利用漏洞之前，發現其 Java 虛擬機（JVM）中的安全風險。這項 JVM 漏洞風險評估工具專為缺乏對 Java 環境全面可見性的 DevOps 和 SecOps 團隊設計。

該工具通過掃描網絡來識別 JVM 實例——包括標準資產發現工具經常遺漏的嵌入式和未管理運行時。掃描完成後，它會根據 CISA 已知利用漏洞（KEV）目錄和美國國家漏洞數據庫（NVD）提供一份優先修復路線圖。Azul 自身開發 JVM 並銷售支持服務，這次免費掃描是一種引導策略，旨在轉化為 Azul Core 訂閲服務。

Azul 強調其安全更新策略的獨特性。Azul Core 是唯一一個僅包含安全修復的 OpenJDK 發行版，不包含新功能或捆綁的錯誤修補程序。Eric Costlow（Azul 產品管理高級總監）告訴 The New Stack：“人們長期不更新 JVM 的原因之一是擔心破壞某些東西。Core 提供的 Java 版本只包含安全補丁——它只修復安全漏洞。應用安全更新版導致應用程序中斷的風險非常低，因為它只修復安全問題。”這與 Corretto、Eclipse Temurin 等其他發行版形成對比。

Azul 還利用 AI 威脅來強調及時打補丁的重要性。文章引用研究指出，AI 工具已大大縮短了漏洞利用時間。例如，2024 年伊利諾伊大學厄巴納-香檳分校的研究表明，GPT-4 在適當框架下可以自主利用 87% 的已知關鍵性 CVE，每次成功利用成本約 8.80 美元。另外，AI 系統 ARTEMIS 在企業網絡中表現優異，成本僅為人類滲透測試員的三分之一。

然而，Azul 的關鍵威脅論據依賴於 Anthropic 的 Mythos 模型——一個未公開發布、僅限少數組織使用的前沿 AI 系統。Azul 聲稱 Mythos 能自主發現漏洞並生成利用路徑，但 Costlow 承認他們並未實際測試該模型：“它被很多政府限制，目前只對選定組織開放。”這意味着 Azul 使用一個自身未經測試的模型來構建威脅敍事。

實際評估工具運行數天，對網絡性能無影響。它識別全棧中的 JVM 版本和年齡，包括應用服務器、無服務器容器和數據庫。輸出包包括按風險層級、發佈者和 Java 版本分類的安全儀表板；與真實威脅數據交叉引用的 KEV 和 CVE 暴露分析；終止生命週期的運行時識別（如仍在生產環境中運行的 Java 5、6 和 7）；以及補丁時效差距報告。

該評估還覆蓋 PCI-DSS、SOX、HIPAA、DORA、NERC CIP 和 FedRAMP 等法規要求。Costlow 指出：“許多 PCI DSS 領域的人本應打補丁，但並未執行。如果八年未更新，問題會非常嚴重。”而 Crane 補充説：“典型評估顯示，往往只有兩三個 Java 版本承擔了大部分風險，這使得緩解措施比預想中更可行。”

該評估可通過 Azul 官網及合作伙伴免費獲取。