智御AI新威胁：Canonical安全进化

Mark Do 7 小时前暂无评论阅读 29 次

安全理念的根基

长期以来，Canonical的安全哲学始终建立在一个基本前提之上：漏洞必然存在，并且终将被发现。我们的应对策略依赖于纵深防御架构、快速补丁部署，以及对协调漏洞披露（CVD）的严格遵循。这一理念在AI时代依然稳固，但需要主动适应新的变化。

AI如何重塑漏洞管理

人工智能正在改变漏洞发现的数量和速度。我们拥有强大的漏洞管理流程，该流程由严格的合规认证作为后盾。这些流程已在严苛的生态体系中证明了其稳健性，目前我们正通过扩展暴露面映射、优化客户指导、明确修复路径等方式对其进行调整。正是在这一领域，AI显著提升了我们的客户服务效率和内部响应能力。

现实世界中的安全防御

为了应对真实世界的安全威胁，我们利用经过历史验证的隔离工具来限制新被武器化的遗留漏洞的爆炸半径。通过AppArmor和原生容器隔离（LXD）实施严格的内核级边界控制。在这一安全设计的基础上，我们持续推动Ubuntu的现代化与加固，大力采用Rust等内存安全语言。

基于风险的多层模型

我们将多层风险模型与即将出台的欧盟《网络弹性法案》（CRA）等合规要求对齐，重点放在实际威胁影响上，而非盲目追逐原始的CVSS评分。由于AI会不断挖掘出数十年前已休眠的漏洞，我们通过Ubuntu Pro提供长达15年的安全维护，为这一基础以及您的长期合规性提供保障。

携手合作伙伴改进漏洞透明度

此外，通过Ubuntu安全研究联盟计划，我们直接与领先的安全扫描提供商合作，旨在提高扫描结果中数据呈现的准确性，并确保Canonical分发的每一份开源软件都经过适当评估。

关键问答：直面AI驱动的新威胁

1. Canonical如何了解Mythos/Glasswing的CVE披露？

Canonical安全团队正积极转变其流程和基础设施，以适应该前沿模型（如Mythos、GPT-5.5和开放权重模型）带来的规模和速度变化。这确保我们的应急响应团队能够充分准备，对预计涌入的大量AI生成漏洞报告进行分诊与修复。

2. Canonical是否在其自身产品资产上进行了内部AI辅助漏洞分析？

是的，我们正在积极整合智能体AI框架，以便在整个资产范围内进行独立的漏洞分析。这一进化直接建立在严格的质量管理实践基础之上，例如主包含审核流程中所需的大量包审计工作。

3. 哪些产品可能最容易受到前沿模型漏洞类别的影响？

由于基础Linux栈在历史上是用非内存安全的C/C++编写的，这些漏洞类别的暴露是跨整个开源生态系统的系统性问题。Canonical并非维护一份“可能暴露”的理论清单，而是从结构上进行缓解。首先，我们在整个Ubuntu归档中强制实施与Linux内核特性相辅相成的强制性编译器级保护，以降低可利用性。

此外，我们通过多层风险模型评估暴露并确定工程响应的优先级，确保大量AI发现的CVE不会引发恐慌性的一刀切式回应。相反，我们会根据所涉及组件进行恰当的响应：

关键基础组件：可能对系统产生重大影响的核心组件，包括内核、glibc、OpenSSL、systemd、sudo、PAM以及核心容器运行时。
基础设施与编排：Canonical的管理、隔离和部署层，包括snapd、AppArmor、cloud-init、LXD、MAAS、Juju和MicroK8s。这些工具决定了基础设施的安全性和扩展方式。
应用生态系统：位于Universe仓库中的成千上万开源应用及其依赖项，这些由Ubuntu Pro提供覆盖。如果AI在此发现一个CVE，虽然可能影响特定业务服务，但上层结构化保护（如AppArmor）可能能够限制该威胁。

以及：

自定义工作负载：在Canonical范围之外运行的客户特定应用和专有代码。

4. Canonical发布CVE修复的典型周转时间是多久？如何确定修复优先级？

虽然我们不会对所有漏洞都采用统一的SLA，但重点是对高风险威胁进行快速修复。我们通常平均在24小时内准备、测试并发布最紧要的安全更新。如果发生真正的零日漏洞或在野外发现活跃利用，我们会尽快向用户推送加急紧急修复。

由于我们明白并非所有CVE都带有相同的现实风险，因此我们不会严格依据原始CVSS评分来确定修复优先级。相反，我们会根据漏洞对Ubuntu用户的具体影响进行分诊。对于风险最高、影响安装数量最大的漏洞，我们会加快修复速度，确保最关键的系统优先得到保护。

5. 如果不能在所需窗口内部署软件补丁，Canonical有哪些补偿控制或虚拟补丁能力？

Ubuntu默认实现的AppArmor配置文件和snap隔离充当了严格的结构化补偿控制，可隔离易受攻击的服务，防止权限提升或任意文件访问。内核实时补丁（Kernel Livepatch）可在内存中永久应用内核漏洞修复，无需重启系统。

此外，在正式修复尚未就绪的情况下，我们会直接在CVE追踪器（例如我们为CVE-2022-23960发布的缓解措施）上提供清晰、可操作的缓解策略——例如特定的系统解决方法或配置更改——以帮助您在过渡期间保护环境。

最后，我们经常发布详细的博客文章，深入分析漏洞，包括影响评估、真实场景和潜在缓解措施，帮助用户充分了解风险并保护环境。

6. Canonical针对Glasswing识别出的漏洞有哪些负责披露流程？

Canonical不会针对Project Glasswing维持一个独立的、专门的漏洞管理流程。因此，我们不会在协调发布日（CRD）之前向个别合作伙伴提供独家早期通知、带外更新或绕过标准社区禁运。我们遵循安全社区认可的协调漏洞披露（CVD）最佳实践，并按照我们的披露政策处理禁运。Canonical的安全团队……（原文被截断，此处按已有内容重述）始终恪守公开透明的原则，确保所有用户平等获取安全信息。

关注微信号：智享开源 ，及时了解更新信息。

原文链接：https://ubuntu.com//blog/responding-to-a-new-threat-landscape