Synack: defense MTTR 63→38 दिन, लेकिन AI exploit window को तेज़ी से compress करता है

Synack की 2026 State of Vulnerabilities Report, 18 मई को publish हुई, एक counter-intuitive headline रखती है: defense actually बेहतर हुआ है। Mean time to remediate (MTTR) 2024 के 63 दिन से 2025 के 38 दिन पर गिरा — सभी severity levels पर 47% की reduction, critical vulnerabilities औसतन 25 दिन तेज़ी से patched हुईं। 2025 में 48,244 CVEs publish हुए (20% year-over-year वृद्धि), और high-severity findings 10% बढ़े। Report की framing इस picture को उलट देती है: यह argue करती है कि exploit availability और patch deployment के बीच gap संकुचित हुई है क्योंकि AI-driven adversaries अब नई vulnerabilities को घंटों में operationalize कर सकते हैं, हफ्तों में नहीं। Defense gain offense-defense gap से कम matter करता है।

Report जिस mechanism की तरफ इशारा करती है वो offensive role में agentic AI है — autonomous scanners जो machine speed पर probe करते हैं, और code-aware exploitation जो एक published CVE को working exploit में पहले से ज़्यादा तेज़ी से convert करता है। Report React2Shell (CVE-2025-55182) को cite करती है, React में एक unauthenticated remote code execution, उस तरह की finding के रूप में जिसे human red teams weaponize करने में दिन लगाते और जो अब घंटों में ship होती है। सबसे common vulnerability class अभी भी XSS है, उसके बाद authorization/permission issues और content injection। Writeup जो quantify नहीं करता: actual hours-to-exploit number, AI tool stack जो इसे achieve करने में use हुआ, या human-only exploit development के against comparison baseline। Honest hedge: "hours" claim methodology disclose किए बिना framing है।

Asymmetry की एक structural cause है AI capability से परे। Defenders को patches को CI में validate करना होता है, उन्हें change windows के through queue करना होता है, और कई production surfaces पर propagate करना होता है। Attackers एक single target के against iterate करते हैं zero rollback cost के साथ। AI दोनों sides को tilt करती है — defenders Daybreak-style automated triage use करते हैं (OpenAI का vulnerability validation tool 12 मई को launched); attackers probe करने के लिए same class का autonomous tooling use करते हैं। लेकिन iteration cost पर offense-defense asymmetry attacker को magnitude of order से favor करती है तब भी जब capability matched है। Synack report की recommended posture है continuous validation: adversaries जितनी तेज़ी से तुम्हारी surface probe करते हैं उतनी तेज़ी से अपनी खुद probe करो। Synack CTO Dr. Mark Kuhr: "जो organizations अपने environment में security को continuously validate करती हैं वो तेज़ी से respond करती हैं और critical exposure windows जल्दी बंद करती हैं।"

सोमवार: अगर आप React पर internet-facing services ship करते हो, अपना CVE-2025-55182 exposure अभी check करो — यह उस तरह का unauth-RCE है जो report द्वारा describe की गई hour-window के अंदर weaponized होता है। अगर आप एक internet-facing AI agent operate करते हो (browser-use, tool-calling जो third-party sites को touch करता है), आपकी attack surface agent खुद को include करती है, जिसे prompt-injected किया जा सकता है credentials leak करने या data exfiltrate करने के लिए — और वही hours-window apply होती है। इस report से actionable shift calibration है: patch-deployment time को last year के exploit-development time के against measure करना बंद करो, और उन adversaries के लिए budget करना शुरू करो जो आपकी patch cadence को machine speed पर match करते हैं। "hours" framing पर panic मत करो — underlying number disclosed नहीं है — लेकिन known CVEs के लिए exploit availability को approximately real-time treat करो।