預測而非列舉

Anthropic在2026年4月釋出的一份安全運營指南中，在建議修補CISA已知被利用漏洞列表和自動化部署流水線之間，夾著一句簡短建議：“使用EPSS來優先處理其餘部分。”對於過去十年處理過漏洞積壓問題的任何人而言，這句話承認了一個廣泛感知但常常未被言明的事實：安全專案已成為訊號與噪聲的機器規模問題。

EPSS（漏洞利用預測評分系統）是一個統計模型，它接收已知軟體漏洞，透過一組關於攻擊者在網際網路上實際活動的訊號，返回該漏洞在未來30天內被利用的機率。它不是LLM，不進行推理或提示工程。它預測。而推薦它的公司，正是其最新模型能在生產軟體中發掘數千個新型可利用漏洞（其中許多已有二三十年曆史，大部分仍未修補）的公司。

據我們所知，這是前沿AI實驗室首次公開推薦一個專門構建的預測模型用於防禦問題。LLM實驗室通常推薦LLM。Anthropic沒有這樣做值得注意，但這條建議本身對它所針對的從業者來說並非新聞。它描述了他們一直在做的事情。

安靜的共識

數量問題並不新鮮。早在2015年，任何針對大型企業環境執行掃描器的人每月都會生成數十萬個發現。到2020年，針對雲環境執行的人會生成數百萬個。企業已經花了近十年時間盯著儀表盤，上面未修復的關鍵發現數量超過了負責修復的團隊的能力。換言之，網路安全已成為機器規模。

基於風險的漏洞管理作為一個產品類別，大約從2018年開始存在。EPSS作為一個公共資源，從2021年起便可使用。如今，超過120家供應商將其嵌入產品。該領域多年以來一直可以使用預測基線。

一直缺少的是改變現狀的外部理由——來自審計員、模型風險管理團隊甚至董事會的建議。審計員希望有一套明確的期望，使評分更客觀、更易評估。合規框架如CVSS（通用漏洞評分系統）之所以受歡迎，是因為CVSS簡單。但實施更高效的方案歷來需要前述外部推動。一位在職CISO可以告訴你，她在2019年就已不再將CVSS評分9.8/10的每個漏洞視為緊急情況，但她也會告訴你，她仍然在報告中保留CVSS。

Anthropic的指導之所以有用，是因為它將私下共識公之於眾。修補你所知道的已被利用的漏洞，然後根據團隊能力或風險承受能力，使用高於某個閾值的EPSS。自2021年11月以來，DHS CISA釋出已知被利用漏洞的做法，只是進一步證明現有方法已被規模和缺乏訊號所淹沒。

為什麼明確說預測

2014年，在Black Hat大會上，In-Q-Tel首席資訊安全官Dan Geer提出了一個首要原則問題：軟體中的漏洞是稀疏還是密集？稀疏意味著有限，每個修復都明顯縮小攻擊面。密集意味著田野裡的雜草。Geer無法回答這個問題，因為資料不充分。

八年後，卡內基梅隆大學軟體工程研究所的Jonathan Spring將漏洞列舉與停機問題聯絡起來，並在理論上證明，對於任何足夠複雜的已部署軟體，總存在更多未發現的缺陷。

過去18個月AI驅動的發現結果使得密度論證即使在進行合規審查時也無法被忽視。OpenBSD中一個27年的漏洞。FFmpeg中一個16年、五百萬次模糊測試從未發現的漏洞。根據開發者自己的統計，已披露的發現不到已發現的1%。但同樣，數量本身就已經是個問題。隨著其最新模型Mythos的釋出，Anthropic告訴團隊要為未來24個月內數量級增長做好準備。

靜態嚴重性評分無法在數量問題下生存，因為它是針對人類規模問題的解決方案，而問題是機器規模的。同樣，任何將每個關鍵發現視為緊急情況的流程也無法生存。行動的閾值必須是機率性的、可衡量的、可辯護的。這就是預測模型的用途，也是工作團隊在嘈雜的大型企業環境中一直在使用的。

指向機器與認識機器

Geer在2025年夏天回到他2014年的問題，與Dave Aitel在Lawfare上合著文章。這篇文章為行業提供了一個一直在模糊處理的詞彙區分：

程式碼中的漏洞不自動構成威脅。緩衝區溢位是危害。只有當攻擊者能夠可靠地利用它——在此環境中、針對這些控制、透過此流量——它才成為風險。漏洞很多，但針對特定目標武器化特定漏洞的能力要罕見得多。

他們寫道，行業已經構建了一臺指向機器。它列舉。

即使是孩子也會早早學會指向和命名——但知道“狗”這個詞並不能揭示動物是否會咬人。在網路安全中，我們構建了同樣指向和命名漏洞的系統，卻並不理解它們是否真正危險。透過僅將AI用於模式識別，我們創造了一個強大的“指向機器”，它能識別潛在威脅，但無法理解其實際影響。我們需要的反而是“認識機器”，能夠理解程式碼在複雜真實環境中的功能，識別不僅是危害，還有將這些危害轉化為風險的完整上下文。

認識機器是一個理解程式碼在特定環境中如何行為，並識別將危害轉化為風險的上下文的系統。預測模型就是構建認識機器的方式。EPSS是最清晰的公開例子：它覆蓋每個已釋出的CVE，並每日更新。

全域性不是本地

EPSS是一個全域性模型。它看到攻擊者在整個網際網路上的活動。它捕捉到嚴重性評分永遠無法捕捉的利用活動模式。但它無法看到任何特定組織的環境。它不知道哪些資產承載企業真正關心的資料。它不知道存在哪些補償控制、修復在何處有風險、或者遙測資料和歷史如何改變機率。

一個被利用機率為97%的9.8分漏洞，與一個機率為0.1%的9.8分漏洞，不是同一種動物。兩個組織對同一個CVE應用相同EPSS閾值，但針對不同資產，結果也不同。一個組織將易受攻擊的程式碼路徑暴露在網際網路上，背後有一個不檢查相關協議的Web應用防火牆。另一個組織將同一個CVE放在一個內部系統上，該系統只接受來自單個服務賬戶的經過身份驗證的輸入。掃描器無法區分它們。全域性模型無法區分它們。它們的實際風險曲線相差多個數量級。

本地上下文正是大多數安全團隊一直卡住的地方，也是該領域未來十年爭奪的戰場。

本地認識機器的實際要求

將更好的指向機器與更快的修復引擎配對，你所做的只是加速產生混亂、破壞和浪費。你還會花費鉅額代理令牌來修復那些在你的環境中從未危險的漏洞。

與無所不知的掃描器相比，本地模型針對所防禦的特定環境進行訓練：資產清單、應用拓撲、可達性、已部署的控制、現場觀察到的攻擊遙測以及組織自身修復及其結果的歷史。模型生成針對該企業的機率。大多陣列織已經擁有輸入資料，分散在CMDB、端點代理、防火牆日誌、工單系統和掃描器輸出中。這種上下文正是攻擊者（無論是使用老式metasploit還是擁有無限預算的Mythos）在其模型中所缺乏的。上下文成為防禦者的不對稱優勢，也許是唯一存在的優勢。

真正重要的政策轉變

決定安全專案能否在未來24個月內生存的干預措施並非純粹技術性的。CISO可以不購買任何東西就實施其中大部分。

重寫SLA。大多數漏洞管理SLA按嚴重性組織。關鍵在15天內，高在30天內，中在90天內。這種結構是為關鍵發現數量足夠小到有意義的時代而建的。現在它實際上是有害的，因為它迫使團隊在無人利用的9.8分和正在遭受主動攻擊的7.5分上花費相同精力。SLA應根據利用機率和資產暴露來重寫，而非嚴重性。無法說服GRC團隊的CISO至少可以增加一個基於機率的第二級別，使其與基於嚴重性的規則並行執行。

改變董事會所見的指標。如果每月安全報告統計不同桶中的漏洞、暴露或發現數量（“關鍵”、“超過30天未修補”等），那麼組織正被按錯誤的指標管理。指標應為隨時間變化的可利用性加權暴露，加上第二條線表示預測與觀察到的利用之間的差異。一旦解釋清楚，董事會會接受。這比向他們展示一個與風險無關、且隨著新LLM模型釋出呈指數增長的數字要好得多。更重要的是：一個優秀的團隊可以完成驚人的修復工作量，但風險仍可能上升，因為他們測量和修復了錯誤的東西。一個高效、擁有豐富上下文的團隊可以完成少得多的工作，卻能顯著降低事件發生的機率。

投資遙測。安全專案能構建的最有價值的工具是優先順序排序與被利用之間的反饋迴圈。如果迴圈顯示你錯了，模型會改進。如果迴圈不存在，你將永遠錯誤（或者根本不知道遺漏了什麼）。

修復合規對話。CVSS之所以存活，是因為監管慣性。PCI、HIPAA和大多數州的資料洩露通知框架仍引用嚴重性。未來兩年中處境最好的CISO是那些現在以書面形式與審計員溝通、在現有規則下基於機率的優先排序框架是什麼樣的。

為瓶頸招聘，而非掃描。行業花了十年時間招聘人員來發現漏洞。現在的瓶頸是決定哪些漏洞重要、部署修復、並衡量優先順序排序是否正確。職位描述應反映這一點。安全資料工程師可能比增加容量更能提高效率以滿足SLA。

這些都不需要新產品。所有需要的是一位願意公開說舊教條已破、新教條將由資料和機率管理的CISO。這正是Anthropic那五個詞句子真正宣佈的轉變。技術已經可用，模型已經到來——既有基於LLM的發現漏洞的模型，也有預測性認識機器用於高效優先順序排序。