商傳媒|葉安庭/綜合外電報導
隨著歐洲各國積極推動數位主權,加大投資人工智慧(AI)、雲端基礎設施及安全的數據系統,旨在減少對外部技術供應商的依賴,此舉也逐漸暴露一個關鍵且隱晦的問題:部署於公共基礎設施中,複雜而老舊的「遺留系統」(legacy systems)所潛藏的重大資安風險。
在能源、交通、醫療保健及政府服務等各個關鍵領域,基礎設施往往是多層次建構的,現代技術與難以替換、未受充分監控的舊有組件並存。這種混雜的環境,造成了傳統網路安全方法難以評估的盲點與脆弱性,使得整個系統面臨更高的網路攻擊風險。
為解決此一日益嚴峻的問題,專注於保護國家基礎設施及政府系統的網路安全公司 DREAM,已於今日推出一套創新、基於AI的資安研究框架。該系統運用多代理方法,大規模分析原始碼、軟體二進位檔、網路協定及系統行為,旨在識別廣泛且破碎的攻擊面中的漏洞,以期彌補傳統人工分析難以擴展的限制。
作為該框架能力的初步展示,DREAM 公司揭露了廣泛部署的Telnet協定實作GNU Inetutils telnetd中的一個嚴重零時差漏洞。這個被追蹤為CVE-2026-32746,危險等級高達9.8的漏洞,允許未經認證的遠端程式碼執行。其觸發時機可在Telnet握手期間,也就是使用者認證之前,意味著單一連線即可能危及受影響的系統。鑑於許多部署中telnetd是以root權限運行,潛在影響更為嚴峻。
儘管Telnet是一種較為過時的協定,但它在網路設備、嵌入式系統和營運技術等廣泛的關鍵基礎設施中仍在使用。公開網路測量數據顯示,仍有數十萬個Telnet服務可供公開存取,其中許多部署於難以迅速更新或替換的環境,這些環境面臨著長期暴露於威脅之下的結構性問題。
DREAM研究與產品副總裁克菲爾·弗萊舍(Kfir Fleischer)指出,許多政府基礎設施仍依賴這些被忽略的遺留技術,儘管它們已成為進階威脅行為者的活躍目標。DREAM公司首席業務暨策略長阿米爾·貝克(Amir Becker)亦強調,隨著AI系統本身成為國家基礎設施的一部分,理解這些系統中的漏洞,將是未來十年關鍵的資安挑戰。歐洲各國持續投資主權AI的同時,這項發現也突顯了一個並行的優先事項:確保支援這些新技術的底層系統,包括長期存在且常被忽視的組件,能夠大規模地被妥善保護。
