漏洞激增的總體軌跡

根據來自 CVEDetails 的歷史基準指標，已發布與保留的 CVE 數量十多年來持續呈 uninterrupted 的上升趨勢。至關重要的是，這種陡峭的軌跡早在自主 AI 代理人進入該領域之前就已確立。如今，隨著 AI 大幅加速漏洞的發現與通報率，治理漏洞管理的基礎設施正面臨迫在眉睫的規模化危機。

這一挑戰同時也帶來了將 CVE 從保留到發布之管線進行現代化的契機。多個跨產業工作小組目前正在建構自動化框架，以實現更快、更有效的漏洞揭露生命週期。值得注意的是，CNA 研究工作小組已針對此範式發布了主動徵求意見（RFI），公眾評論將開放至 2026 年 6 月 5 日。

對稱式分流：以自動化之火對抗自動化之火

防禦者無法再以人類的速度去驗證與修復 AI 步伐的資安通報。為了在這一波衝擊中倖存，接收管線必須槓桿與外部研究人員完全相同的技術力量乘數。LLM 極其擅長模式匹配與上下文綜合分析，這使其成為現代支援架構中處理警報分流階段的高效過濾器。

當整合進接收管線後，LLM 可以立即針對現有的遙測數據分析新進報告，以判斷其是否為全新漏洞，從而精準篩選掉由常見掃描工具重複產生的垃圾報告。一旦通過驗證，軟體安全團隊便能利用 LLM 快速起草局部程式碼修復，並跨整個程式碼庫進行交叉比對，找出隱藏在 legacy 程式碼中其他地方的相同潛在漏洞變體。

漏洞漏洞獎金交付物的演進

隨著 AI 工具降低了安全研究的准入門檻，單純的漏洞報告正在貶值為大宗商品。為了保持競爭力並最大化獲取獎金，頂尖的漏洞獵人必須提升其交付報告的品質，透過提供高度結構化的封存套件建立差異化優勢，其中應包含：

• 驗證過的攻擊向量： 經過嚴格審計的概念驗證（PoC），並剔除所有 AI 幻覺與不切實際的預設前提。
• 程式化修補程式： 產出已由 LLM 輔助優化、可供工程團隊直接審查的程式碼修復，以加速廠商的修復週期。
• 入侵指標（IOC）： 提供明確的架構特徵與行為日誌，向防禦者展示如何在野外偵測該漏洞是否遭到實際利用。

工程現實 vs. 絕望式提示詞

當利用 LLM 進行防禦性程式碼生成或威脅分析時，安全團隊必須謹記，這些模型在底層本質上是「機率性（Probabilistic）」的，而非「決定性（Mechanistic）」的。依賴絕望式提示詞（Desperation Prompting）策略——例如在 prompt 末尾強加「且絕對不能犯錯」——並無法改變神經網路的底層數學現實。核心的成功關鍵在於精準的情境過濾、沙箱化的運行驗證，以及持續的人機協同審查機制。