Oracle計劃將其ERP、資料庫及其他軟體的安全補丁發布周期從季度更新改為每月更新,以應對AI驅動下軟體漏洞發現速度不斷加快的挑戰。
微軟、SAP、Adobe等軟體廠商此前已採用每月定期發布補丁的模式,通常固定在每月的第二個周二。
Oracle此次則選擇了一套差異化的發布節奏:首批月度關鍵安全補丁更新(CSPU)將於5月28日(第四個周四)發布,此後改為每月第三個周二發布,比其他廠商晚一周,後續幾批分別定於6月16日、7月21日和8月18日。
Oracle表示,新的CSPU"針對關鍵漏洞提供精準修復,格式更小、更聚焦,使客戶無需等待下一個季度版本,即可及時處理高優先級問題"。
與此同時,Oracle仍將按原有節奏每季度發布一次累積性關鍵補丁更新,今年第一批已於1月份如期發布。
Oracle上周首次宣布將切換至月度補丁發布計劃,但當時未公布具體日期。
新的補丁發布節奏主要影響在本地或自有、第三方託管環境中運行Oracle應用程序的客戶。對於使用Oracle託管雲服務的客戶,Oracle會自動完成補丁應用,無需手動操作。
在漏洞識別與修複方面,Oracle正藉助AI技術提升效率。據悉,Oracle已通過OpenAI的"網路安全可信訪問計劃"獲得其最新模型的使用權限,同時也接入了Anthropic的Claude Mythos Preview模型。
Mythos的出現在業界引發了廣泛擔憂,外界普遍擔心AI將在軟體中發現大量零日漏洞。不過截至4月中旬,與Mythos直接相關的漏洞報告僅有一例。
Q&A
Q1:Oracle為什麼要將安全補丁的發布周期從季度改為月度?
A:Oracle做出這一調整,主要是為了應對AI技術加速軟體漏洞發現所帶來的安全壓力。AI工具能夠比以往更快地掃描和識別漏洞,季度更新的節奏已難以及時響應新出現的高危漏洞。通過每月發布關鍵安全補丁更新(CSPU),Oracle能讓客戶更快修復高優先級問題,無需等待下一個季度的累積補丁。
Q2:Oracle月度安全補丁更新對使用Oracle雲服務的客戶有影響嗎?
A:影響相對有限。使用Oracle託管雲服務的客戶,Oracle會自動應用安全補丁,無需客戶手動操作。此次月度補丁節奏的調整,主要影響的是在本地環境、自有數據中心或第三方託管環境中運行Oracle軟體的客戶,這些客戶需要主動跟進並部署每月發布的CSPU。
Q3:Oracle接入的Anthropic Claude Mythos Preview模型為何引發零日漏洞擔憂?
A:Claude Mythos Preview是Anthropic推出的一款AI模型,其強大的代碼分析能力引發業界擔憂,認為此類AI工具可能會大規模發現此前未知的零日漏洞,從而帶來新的安全風險。不過,截至2025年4月中旬,實際上僅有一例漏洞報告被明確歸因於Mythos,目前的實際影響遠低於預期的最壞情況。
