英國NCSC警告AI將加速技術債利用，籲組織預備弱點修補潮

NCSC說明，各類組織都存在技術債，也就是組織為追求短期效益而累積的一批技術問題，後續處理成本高且耗時。AI可能加快新弱點被發現與利用的速度，迫使企業在短時間內對整個技術堆疊套用大量軟體更新，形成NCSC所稱的弱點修補潮。

在因應順序上，NCSC建議組織先盤點並降低網際網路可接觸的外部攻擊面，包括邊界系統、雲端執行個體與地端環境。當企業無法一次更新所有系統，應先處理暴露在外部的系統，若處理外部攻擊面後仍有維運量能，則應優先處理關鍵資安系統。NCSC也提醒，修補並不一定能解決所有問題，部分老舊或已終止支援的技術可能無法取得更新，企業必須汰換相關系統，或重新納入支援範圍，尤其是這些系統同時暴露在外部攻擊面時。

NCSC進一步建議企業調整弱點管理流程，準備更快速、頻繁且大規模地部署安全更新，並把供應鏈納入考量。要是系統支援不影響服務的自動化安全熱修補，應優先啟用，支援自動更新的系統，也應開啟，以降低維運團隊負擔。對於無法採取自動機制的環境，企業則需確保既有流程與風險承受度，足以支援更頻繁且更大規模的更新作業，並考量營運中斷與安全關鍵系統的取捨，必要時可採用SSVC等風險優先排序方法，決定更新部署順序。

NCSC也指出，若關鍵弱點已遭主動濫用，特別是影響網際網路暴露系統時，企業應加快更新程序。NCSC建議組織建立「預設更新」政策，在可行情況下盡快且最好自動套用軟體更新，但也承認安全關鍵系統或營運技術環境可能需要例外處理。