因應AI加快駭客發現及攻擊軟體漏洞,印度網路安全主管機關CERT-In發布命令,要求企業在漏洞公布12小時內應完成修補。
CERT-In發布38頁的最新指導方針文件(CISG-2026-02)說明,AI輔助的工具加速攻擊者尋找、武器化和濫用漏洞、曝露服務、弱點、不安全API和配置錯誤系統,新一代攻擊時間大幅縮短,伴隨自主化攻擊出現,漏洞公開後數小時內就被武器化會變成常態。
CERT-In相信傳統數週的修補週期已不具備防禦力,並提出極嚴格的修補時間要求。其中,若得知風險值9.0的重大漏洞或是影響內部系統的已知漏洞,應於24小時內修補,已遭公開利用(Known Exploited)且暴露在網際網路上的「核心關鍵資產(Crown Jewel)」系統,更須在發現後12小時內進行修補、緩解或隔離。其他高價值系統的關鍵漏洞應於3天內修補,高風險(High)的一般漏洞則須於5天內完成。
印度官方並重申現有要求,所有組織與企業一旦偵測到或意識到資安事件發生時,必須在6小時內向CERT-In通報。
其次,印度官方要求組織採取零信任(Zero Trust)架構、全面導入多因素驗證(MFA)、最小權限管理、硬體身分驗證,以及內網微分段(micro-segmentation),避免駭客攻破一臺主機後在整個網路橫向移動。文件也點名舊式VPN與遠端存取設備是高風險入口,建議強化或淘汰。
CERT-In也鼓勵企業使用AI防禦工具,例如AI漏洞偵測或攻擊表面(attack surface)分析。此外,也要求企業定期進行AI輔助攻擊的安全教育,深偽(deepfake)辨識教育、AI紅隊演練(red teaming)等。
The Register引述資安專家表示,12小時實在太短,不足以完成修補程式的測試和部署。
但是也有資安專家認為,這類法規不無道理,因為AI出現後,駭客可能在幾小時內就可以發現並攻擊,新法規迫使組織必須重新調整其安全策略,使其轉向持續性防禦態勢(posture)。
