详细内容或原文请订阅后点击阅览
预测,而不是枚举
Anthropic 于 2026 年 4 月发布的安全操作指南的三分之一,夹在修补 CISA 已知利用漏洞列表的建议和自动化部署管道的建议之间,是一条小建议:“使用 EPSS 优先处理其余事项。”对于任何曾在 [...]
来源:O'Reilly Media _AI & MLAnthropic 于 2026 年 4 月发布的安全操作指南的三分之一,夹在修补 CISA 已知利用漏洞列表的建议和自动化部署管道的建议之间,是一条小建议:“使用 EPSS 优先处理其余事项。”对于任何在过去十年中从事漏洞积压工作的人来说,这句话承认了一个关于安全程序的普遍存在但经常不言而喻的事实:它们已经成为机器规模的信噪比问题。
EPSS(利用预测评分系统)是一种统计模型,它采用已知的软件缺陷,通过一组有关攻击者在互联网上实际执行的操作的信号来运行该模型,并返回该缺陷在未来 30 天内被利用的概率。它不是法学硕士,也不进行推理或提示工程。它预测。支持它的公司就是同一家公司,其最新模型可以发现生产软件中数千个新颖的、可利用的漏洞,其中许多漏洞已有两、三十年历史,其中大多数尚未修补。
据我们所知,这是前沿人工智能实验室首次公开认可专门构建的预测模型作为解决防御问题的正确工具。法学硕士实验室通常推荐法学硕士。值得注意的是,Anthropic 并没有这么做,但这一建议本身对于它所针对的从业者来说并不是什么新闻。这是对他们一直在做的事情的描述。
安静的共识
音量问题并不是什么新鲜事。 2015 年,任何对大型企业资产运行扫描仪的人每月都会生成数十万条结果。 2020 年,任何在云环境中运行的人都会产生数百万美元的收入。企业在十年的大部分时间里都在盯着仪表板,其中开放的关键发现的数量大于团队应该修复它们的能力。换句话说,网络安全已经成为机器规模。