Oracle加快安全补丁发布节奏以应对AI网络安全威胁

Oracle计划将其ERP、数据库及其他软件的安全补丁发布周期从季度更新改为每月更新，以应对AI驱动下软件漏洞发现速度不断加快的挑战。

微软、SAP、Adobe等软件厂商此前已采用每月定期发布补丁的模式，通常固定在每月的第二个周二。

Oracle此次则选择了一套差异化的发布节奏：首批月度关键安全补丁更新（CSPU）将于5月28日（第四个周四）发布，此后改为每月第三个周二发布，比其他厂商晚一周，后续几批分别定于6月16日、7月21日和8月18日。

Oracle表示，新的CSPU"针对关键漏洞提供精准修复，格式更小、更聚焦，使客户无需等待下一个季度版本，即可及时处理高优先级问题"。

与此同时，Oracle仍将按原有节奏每季度发布一次累积性关键补丁更新，今年第一批已于1月份如期发布。

Oracle上周首次宣布将切换至月度补丁发布计划，但当时未公布具体日期。

新的补丁发布节奏主要影响在本地或自有、第三方托管环境中运行Oracle应用程序的客户。对于使用Oracle托管云服务的客户，Oracle会自动完成补丁应用，无需手动操作。

在漏洞识别与修复方面，Oracle正借助AI技术提升效率。据悉，Oracle已通过OpenAI的"网络安全可信访问计划"获得其最新模型的使用权限，同时也接入了Anthropic的Claude Mythos Preview模型。

Mythos的出现在业界引发了广泛担忧，外界普遍担心AI将在软件中发现大量零日漏洞。不过截至4月中旬，与Mythos直接相关的漏洞报告仅有一例。

Q&A

Q1：Oracle为什么要将安全补丁的发布周期从季度改为月度？

A：Oracle做出这一调整，主要是为了应对AI技术加速软件漏洞发现所带来的安全压力。AI工具能够比以往更快地扫描和识别漏洞，季度更新的节奏已难以及时响应新出现的高危漏洞。通过每月发布关键安全补丁更新（CSPU），Oracle能让客户更快修复高优先级问题，无需等待下一个季度的累积补丁。

Q2：Oracle月度安全补丁更新对使用Oracle云服务的客户有影响吗？

A：影响相对有限。使用Oracle托管云服务的客户，Oracle会自动应用安全补丁，无需客户手动操作。此次月度补丁节奏的调整，主要影响的是在本地环境、自有数据中心或第三方托管环境中运行Oracle软件的客户，这些客户需要主动跟进并部署每月发布的CSPU。

Q3：Oracle接入的Anthropic Claude Mythos Preview模型为何引发零日漏洞担忧？

A：Claude Mythos Preview是Anthropic推出的一款AI模型，其强大的代码分析能力引发业界担忧，认为此类AI工具可能会大规模发现此前未知的零日漏洞，从而带来新的安全风险。不过，截至2025年4月中旬，实际上仅有一例漏洞报告被明确归因于Mythos，目前的实际影响远低于预期的最坏情况。