思科调整漏洞披露策略，基于AI与风险优先级

内容摘要

思科宣布将调整其基于风险的漏洞披露模型，利用AI能力加速漏洞发现，并优先披露高风险漏洞的详细技术信息。对于内部发现且风险较低的漏洞，将减少独立披露，转而引导客户采用包含安全补丁的软件版本。

核心要点

思科正在利用前沿AI模型增强其安全流程，以“前所未有的速度和规模”发现和修复漏洞。同时，思科承认对手也会利用AI，增加了防御的紧迫性和复杂性。

为此，思科调整了漏洞披露实践。核心变化是：对于被评估为高风险（如关键、正被利用、高利用可能性）的漏洞，将提供更详细的技术信息；对于内部发现且利用可能性和影响较低的漏洞，可能不再发布独立的公告，而是通过发布包含补丁的软件版本，并在网站上提供高级别数据来引导客户。

思科强调此举旨在帮助客户将修补和缓解工作的重点放在最需要和最紧急的地方，并推动行业应对AI带来的漏洞数量预期增长。

重要性说明

这是厂商信号，标志着思科在AI驱动下，其安全运营与客户沟通模式的战略调整。核心转移是从“全面透明披露”转向“风险优先级驱动的选择性披露”，旨在平衡透明度与运营效率，应对AI带来的漏洞发现速度压力。

PRO 决策建议

厂商：应评估自身漏洞披露策略，考虑如何整合AI工具进行风险分级，并准备应对客户对透明度变化的质询。
企业：需要调整漏洞管理流程，更依赖厂商提供的“安全加固版本”进行更新，并加强内部对软件版本安全性的验证能力。
投资者：关注安全厂商运营效率（如PSIRT成本）与客户关系管理之间的平衡，此模式若成功可能被其他大型基础设施厂商效仿。