用AI發現漏洞還不夠，Google指出自動化大規模修補才是防禦核心

這樣的論點近期一再被強調。例如，2024年舉行AIxCC準決賽的美國國防高等研究計劃署（DARPA），以及去年宣布正研發AI代理CodeMender的Google，都強調自動發現與自動修補漏洞的重要性，近日Google工程部門副總裁Royal Hansen來臺，揭露自動化防禦的最新發展。

提交多種修補方案，透過攻擊模擬選出最佳解後部署

加速找出潛在漏洞，是資安領域踏出的重要一步，這方面進展已日益顯著。以Google而言，去年透過Big Sleep計畫，利用AI模型發現超過70個漏洞，其中包括史上最早由AI發現的現實世界零時差漏洞。如今一年過去，隨著市面上各類AI模型的進步，大規模漏洞發現已經開始逐步實現。

但Royal Hansen指出，在啟動Big Sleep計畫後，團隊即意識到發現漏洞並非唯一難題，業界更需要的是「更快的修復方法」。為此，Google啟動CodeMender計畫。截至去年，該計畫已向開源項目提交72個漏洞修復方案，其中包括超過450萬行並非由人類編寫的程式碼。

他強調，當前資安防禦最艱鉅的工作，已經不再是資安團隊的漏洞偵測，而是所有受影響的團隊必須針對威脅做出相應調整並修補。這一過程其實非常複雜，但AI代理人可以考量人類無法處理的複雜相關因素，並快速擴大規模進行處理與修補。

Google的CodeMender又是怎麼做？Royal Hansen進一步解釋，CodeMender能針對同一漏洞提供多個修補方案，隨後以真實攻擊模擬進行測試。他比喻道：「這就像AI在玩西洋棋或圍棋一樣，會為每一步進行評分，修補也是如此，會為每一種可能的修補方案評分，最後選出分數最高、防禦效果最好的程式碼進行部署。」

他也提到，不要用單一AI代理處理所有工作，而是讓多個AI代理各司其職，這樣才會更有效率。即便只是漏洞修補這件事，但背後也有漏洞分析等不同工作在進行。

在此同時，Royal Hansen亦鼓勵業界大力測試此類技術，因為縮短零時差漏洞的修復時間才是真正目標。

讓AI滲透SSDLC每一道防線，往後多AI代理將成軟體開發日常

AI漏洞修補固然很重要，但更值得關注的是，若以軟體安全開發生命週期（SSDLC）來看，AI漏洞修補究竟應該如何定位？

對此，Royal Hansen認為，AI的角色不應只存在於單一階段，而是要貫穿整個流程。以開發階段為例，AI應在工程師撰寫程式當下即時進行檢查、測試並提出修補建議，確保帶有弱點的程式碼在部署前就被攔截。

更進一步來看，從開發、部署、測試到上市後追蹤，AI都能在每個環節提供關鍵協助。

談到這裡，他再次重申多代理架構的重要性，憑藉AI代理24小時不間斷運行的特性，他直言這類自動化能力未來將趨於極低成本，甚至成為近乎​「零成本」的基礎設施。因此他呼籲，企業應把握趨勢，積極將AI代理全面導入軟體生命週期的各個環節。

為了讓AI代理在資安領域的運作更具畫面感，Royal Hansen亦在訪談中引用電影《駭客任務》中的「史密斯探員」（Agent Smith）為例來說明。他指出，史密斯探員作為母體的守護者，能24小時不間斷防止虛擬世界遭到破壞；同樣地，企業也能打造專屬AI代理，全天候偵測漏洞與潛在風險。

突破資源枷鎖，以AI代理重塑防禦端的處理速度與規模

另外值得一提的是，除了AI自動化漏洞修復，Royal Hansen特別針對企業資安長提出建言，他指出，許多資安長常面臨待辦事項遠超人力、時間與預算的困境，導致他們只能優先處理高風險威脅。

如今憑藉更強大的LLM模型與AI代理，防禦的運作速度與規模已能突破以往限制，這不僅是為了對抗使用AI的攻擊者，更是為了解決資安領域數十年來的問題－－防禦人力資源匱乏與處理效率的瓶頸。上述漏洞發現與修補就是一例。

而且，即便是在減少繁瑣工作（Toil）方面，AI也能帶來極大幫助。他以Google威脅獵捕分析團隊為例，透過AI協助生成摘要、撰寫郵件及整合多方數據的任務，其效率提升了77％。這顯示出，僅僅是在提升生產力方面，AI也能為資安人員騰出更多空間，去處理更具挑戰性且更有意義的工作。