Azul 希望在 AI 之前發現你未打補丁的 JVM

Azul Systems 推出了一項免費服務，旨在幫助企業在 AI 驅動的攻擊者利用漏洞之前，發現其 Java 虛擬機器（JVM）中的安全風險。這項 JVM 漏洞風險評估工具專為缺乏對 Java 環境全面可見性的 DevOps 和 SecOps 團隊設計。

該工具透過掃描網路來識別 JVM 例項——包括標準資產發現工具經常遺漏的嵌入式和未管理執行時。掃描完成後，它會根據 CISA 已知利用漏洞（KEV）目錄和美國國家漏洞資料庫（NVD）提供一份優先修復路線圖。Azul 自身開發 JVM 並銷售支援服務，這次免費掃描是一種引導策略，旨在轉化為 Azul Core 訂閱服務。

Azul 強調其安全更新策略的獨特性。Azul Core 是唯一一個僅包含安全修復的 OpenJDK 發行版，不包含新功能或捆綁的錯誤修補程式。Eric Costlow（Azul 產品管理高階總監）告訴 The New Stack：“人們長期不更新 JVM 的原因之一是擔心破壞某些東西。Core 提供的 Java 版本只包含安全補丁——它只修復安全漏洞。應用安全更新版導致應用程式中斷的風險非常低，因為它只修復安全問題。”這與 Corretto、Eclipse Temurin 等其他發行版形成對比。

Azul 還利用 AI 威脅來強調及時打補丁的重要性。文章引用研究指出，AI 工具已大大縮短了漏洞利用時間。例如，2024 年伊利諾伊大學厄巴納-香檳分校的研究表明，GPT-4 在適當框架下可以自主利用 87% 的已知關鍵性 CVE，每次成功利用成本約 8.80 美元。另外，AI 系統 ARTEMIS 在企業網路中表現優異，成本僅為人類滲透測試員的三分之一。

然而，Azul 的關鍵威脅論據依賴於 Anthropic 的 Mythos 模型——一個未公開發布、僅限少陣列織使用的前沿 AI 系統。Azul 聲稱 Mythos 能自主發現漏洞並生成利用路徑，但 Costlow 承認他們並未實際測試該模型：“它被很多政府限制，目前只對選定組織開放。”這意味著 Azul 使用一個自身未經測試的模型來構建威脅敘事。

實際評估工具執行數天，對網路效能無影響。它識別全棧中的 JVM 版本和年齡，包括應用伺服器、無伺服器容器和資料庫。輸出包包括按風險層級、釋出者和 Java 版本分類的安全儀表板；與真實威脅資料交叉引用的 KEV 和 CVE 暴露分析；終止生命週期的執行時識別（如仍在生產環境中執行的 Java 5、6 和 7）；以及補丁時效差距報告。

該評估還覆蓋 PCI-DSS、SOX、HIPAA、DORA、NERC CIP 和 FedRAMP 等法規要求。Costlow 指出：“許多 PCI DSS 領域的人本應打補丁，但並未執行。如果八年未更新，問題會非常嚴重。”而 Crane 補充說：“典型評估顯示，往往只有兩三個 Java 版本承擔了大部分風險，這使得緩解措施比預想中更可行。”

該評估可透過 Azul 官網及合作伙伴免費獲取。