自2025年初以來,負責保護美國關鍵基礎設施免受網絡攻擊的聯邦機構已流失了約三分之一的員工,而情況即將進一步惡化。
網絡安全與基礎設施安全局(CISA)正面臨2027財政年度擬議的7.07億美元預算削減,這可能導致再裁撤766個全職職位。就在這一刻,由AI驅動的網絡威脅正以快於大多數組織修補系統的速度演變。
改變了計算方式的 AI 威脅
2026 年 4 月 7 日,Anthropic 發布了 Claude Mythos Preview,這是一款能夠識別數千個零日漏洞並執行自主攻擊的 AI 模型。
零日漏洞是軟體製造商尚未發現的安全缺陷。由於攻擊者發動攻擊時尚無修補程式可用,因此這類漏洞是最危險的攻擊方式。歷史上,發現零日漏洞需要頂尖駭客投入數週或數月的時間深入探測系統。Claude Mythos Preview 則大幅壓縮了這一時間線。
代理 CISA 主任尼克·安德森在白宮早期討論人工智慧威脅應對時,被形容為「在桌邊,但不在遊戲中」。這是一種委婉的說法,意味著該機構的意見雖被聽取,但並未推動決策。
更糟糕的是,自2025年該職位空缺以來,CISA 一直未任命新的首席人工智慧官。因此,負責防禦國家數位基礎設施的機構,目前沒有高層領導專注於理解正在重塑威脅格局的這項技術。
人員流失與日俱增的威脅相符
CISA 的員工數量減少約三分之一,是透過計劃中的買斷和預算措施綜合實現的。
CISA 營運已知被利用的弱點計劃(KEV),該計劃維護一份正在被積極利用的安全漏洞目錄,並為聯邦機構設置修補這些漏洞的截止日期。目前的討論正在探討是否將修補時間表從數週縮短至最少三天。
前官員公開表示擔憂,從 CISA 傳統職能轉向戰略性調整,可能削弱弱點管理,而在 AI 驅動能力使快速響應比以往任何時候都更重要的此刻。