Synack 2026 State of Vulnerabilities 報告,5 月 18 日發布,標題反直覺:防守其實變好了。Mean time to remediate(MTTR)從 2024 年的 63 天降到 2025 年的 38 天 —— 各嚴重等級整體下降 47%,嚴重漏洞平均修復時間提早 25 天。2025 年共發布 48,244 個 CVE(同比 +20%),高危發現上升 10%。報告自己的 framing 把這張圖反過來:它認為「漏洞利用可用」到「補丁部署」之間的差距已經縮小,因為AI 驅動的對手現在能在數小時內、而不是數週內,把新漏洞工程化。防守端的進步,比不上攻防差距的縮小。
報告指出的機制是攻擊側的 agentic AI —— 以機器速度探測的自主掃描器,以及程式碼感知的利用腳本,把已公布的 CVE 比以往更快地轉化成可用 exploit。報告點名 React2Shell(CVE-2025-55182),React 裡一個未授權遠端程式碼執行,作為「人類紅隊過去要幾天才能武器化、現在數小時內 ship」的典型例子。最常見的漏洞類別仍然是 XSS,其次是授權/權限問題和內容注入。writeup 沒有量化的:具體「數小時」是幾小時,用的 AI 工具堆疊是什麼,以及對照人類單獨開發 exploit 的 baseline 是什麼。誠實 hedge:「數小時」這個 claim是 framing,沒披露方法論。
這個不對稱有超出 AI 能力本身的結構性成因。防守方要在 CI 裡驗證補丁、過變更視窗排隊、再向許多生產面傳播。攻擊方面對一個目標迭代,回滾成本為零。AI 兩邊都在用 —— 防守方用 Daybreak 那種自動化分診(OpenAI 5 月 12 日發布的漏洞驗證工具);攻擊方用同一類自主 tooling 來探測。但即便能力對等,迭代成本上的攻防不對稱,仍然讓攻擊方佔一個數量級的便宜。Synack 報告推薦的姿態是持續驗證:用對手探你的速度,反過來探自己。Synack CTO Dr. Mark Kuhr:「持續在自己環境裡做安全驗證的組織,回應得更快,關鍵暴露視窗關得更早。」
週一上手:如果你在 React 上跑面向網際網路的服務,現在去查你對 CVE-2025-55182 的暴露 —— 這正是報告所說「在小時視窗內被武器化」的那一類未授權 RCE。如果你在跑面向網際網路的 AI agent(browser-use、呼叫第三方站台的 tool calling),你的攻擊面就包括 agent 本身,它可以被 prompt-inject 來洩漏憑據或外傳資料 —— 同樣的小時級視窗照樣適用。這份報告裡可落地的轉變是校準:別再拿你今天的補丁部署時間去對比去年的 exploit 開發時間,改成給那些以機器速度匹配你打補丁節奏的對手做預算。別因為「數小時」這個 framing 慌神 —— 底層數字沒披露 —— 但要把已知 CVE 的 exploit 可用性,當成大致是即時的。