Od 0-Day do N-Hour. Dlaczego AI skraca czas na reakcję i co to oznacza dla bezpieczeństwa organizacji?

Przedwczoraj, 8 czerwca 2026 r. Anthropic opublikował raport Measuring LLMs’ impact on N-day exploits, w którym przeanalizowano, jak zaawansowane modele AI mogą przyspieszać tworzenie exploitów dla podatności N-Day, czyli luk już znanych i załatanych przez producentów, ale nadal obecnych w nieaktualizowanych systemach.

Najważniejszy wniosek z raportu jest bardzo praktyczny: czas potrzebny na przygotowanie działającego exploita może być skrócony z tygodni do godzin. To oznacza, że organizacje nie mogą traktować publikacji poprawki bezpieczeństwa jako początku długiego i spokojnego procesu aktualizacji. W wielu przypadkach moment publikacji patcha może być jednocześnie początkiem wyścigu między administratorami a atakującymi.

Ten raport był bezpośrednią inspiracją do przygotowania tego wpisu. Chcemy uporządkować pojęcia 0-Day, N-Day i N-Hour oraz pokazać, dlaczego regularne skanowanie podatności, priorytetyzacja ryzyka i szybka mitygacja stają się jednym z podstawowych elementów cyberodporności organizacji.

0-Day, N-Day, N-Hour — co oznaczają te pojęcia?

Podatność 0-Day to luka, o której producent oprogramowania jeszcze nie wie albo dla której nie istnieje jeszcze publicznie dostępna poprawka. Atakujący ma wówczas przewagę, ponieważ administratorzy i zespoły bezpieczeństwa nie mają gotowego patcha ani pełnej informacji, jak skutecznie usunąć problem.

Podatność N-Day to luka już znana publicznie — najczęściej opisana w biuletynie bezpieczeństwa, CVE lub komunikacie producenta. Poprawka istnieje, ale nie wszystkie systemy zostały jeszcze zaktualizowane. Właśnie ten okres pomiędzy publikacją poprawki a jej wdrożeniem w organizacji nazywany jest często „patch gap”.

N-Hour to pojęcie, które dobrze oddaje nową skalę ryzyka. Skoro modele AI potrafią coraz szybciej analizować poprawki, porównywać wersje kodu lub binaria i pomagać w tworzeniu proof-of-concept oraz exploitów, realne okno bezpieczeństwa może przestać być liczone w dniach. Coraz częściej trzeba myśleć o godzinach.

Dlaczego podatności N-Day są tak groźne?

W przypadku podatności N-Day atakujący nie musi zaczynać od zera. Sama poprawka bezpieczeństwa bywa dla niego wskazówką. Może porównać wersję podatną z wersją załataną, sprawdzić, co dokładnie zmienił producent, a następnie odtworzyć logikę błędu.

Ten proces nazywa się często „patch diffing”. Do niedawna wymagał dużego doświadczenia, czasu i specjalistycznych kompetencji z zakresu reverse engineeringu. To dawało obrońcom pewien margines: nawet jeśli poprawka została opublikowana, opracowanie działającego exploita nie zawsze było szybkie.

Według Anthropic ten margines gwałtownie się zmniejsza.

Co pokazał raport Anthropic?

Anthropic przeanalizował wpływ dużych modeli językowych na tworzenie exploitów dla podatności N-Day. Testy objęły m.in. podatności w Firefox/SpiderMonkey oraz podatności jądra Windows.

W przypadku Firefox modele otrzymywały publiczne informacje wynikające z poprawki, środowisko testowe oraz wersję podatną i załataną. Nie dostawały natomiast ukrytych informacji z wewnętrznych zgłoszeń błędów. Mimo to Claude Mythos Preview był w stanie wygenerować wiele działających proof-of-concept, a następnie przejść od awarii do działającego exploita umożliwiającego wykonanie kodu.

W przypadku Windows zadanie było trudniejsze, ponieważ modele pracowały na binariach, dekompilacji i publicznych informacjach z biuletynów bezpieczeństwa. Również tutaj Anthropic pokazał, że modele potrafią znacząco przyspieszyć proces od analizy poprawki do działającego łańcucha eskalacji uprawnień.

Najważniejsza teza raportu nie brzmi: „AI odkrywa wszystkie podatności”. Brzmi raczej: AI obniża koszt i skraca czas uzbrojenia znanych podatności.

To bardzo istotna różnica.

Co to oznacza dla firm i instytucji publicznych?

Dla administratorów, działów IT i osób odpowiedzialnych za cyberbezpieczeństwo oznacza to konieczność zmiany podejścia do zarządzania podatnościami.

W praktyce nie wystarczy już założenie, że „zaktualizujemy systemy przy najbliższym oknie serwisowym”. Jeżeli poprawka dotyczy podatności możliwej do wykorzystania w realnym ataku, to opóźnienie może oznaczać, że organizacja pozostaje podatna w momencie, gdy exploit jest już dostępny lub możliwy do szybkiego przygotowania.

Szczególnie narażone są środowiska, w których aktualizacje są trudne, odkładane lub wymagają długich uzgodnień:

• systemy produkcyjne i OT,
• urządzenia sieciowe,
• systemy medyczne,
  starsze aplikacje biznesowe,
• serwery wystawione do Internetu,
• systemy wymagające wysokiej dostępności,
• środowiska z niepełną inwentaryzacją zasobów.

Im dłuższy czas od publikacji poprawki do jej wdrożenia, tym większa szansa, że luka N-Day stanie się realnym wektorem ataku.

Skanowanie podatności jako element codziennej cyberhigieny

Wnioskiem z raportu Anthropic nie jest wyłącznie konieczność szybszego instalowania poprawek. Najpierw trzeba wiedzieć, gdzie dana podatność w ogóle występuje.

W wielu organizacjach problemem nie jest brak dobrej woli, ale brak widoczności:

• które systemy są aktywne,
• jakie wersje oprogramowania są zainstalowane,
• które usługi są wystawione do sieci,
• gdzie występują znane podatności,
• które z nich są krytyczne,
• które mają dostępne exploity,
• które powinny być usunięte w pierwszej kolejności.

Dlatego zarządzanie podatnościami powinno być procesem ciągłym, a nie jednorazowym audytem.

Gdzie w tym miejscu pojawia się OpenVAS Enterprise?

OpenVAS Enterprise to rozwiązanie do skanowania i zarządzania podatnościami, które pomaga organizacjom identyfikować znane słabości w infrastrukturze IT. Jego zadaniem jest wykrywanie podatnych usług, błędnych konfiguracji, nieaktualnych wersji oprogramowania oraz luk, które mogą zostać wykorzystane przez atakujących.

W praktyce OpenVAS Enterprise wspiera kilka kluczowych działań:

1. Regularne skanowanie infrastruktury
   Organizacja może cyklicznie sprawdzać serwery, urządzenia sieciowe, usługi i systemy pod kątem znanych podatności.
2. Priorytetyzację ryzyka
   Nie każda luka ma taki sam wpływ na bezpieczeństwo. OpenVAS Enterprise pomaga ocenić wagę podatności i wskazać, które problemy wymagają pilnej reakcji.
3. Weryfikację po aktualizacjach
   Po wdrożeniu poprawek warto sprawdzić, czy podatność rzeczywiście została usunięta i czy w środowisku nie pozostały niezałatane systemy.
4. Wsparcie dla zespołów IT i bezpieczeństwa
   Raporty ze skanów mogą być podstawą do planowania prac administracyjnych, rozmów z dostawcami, audytów, procedur bezpieczeństwa i dokumentowania działań naprawczych.
5. Zmniejszanie „patch gap”
   Im szybciej organizacja wykryje, że dana podatność występuje w jej środowisku, tym szybciej może ją usunąć, ograniczyć ekspozycję lub zastosować obejście.

Nie każdą podatność da się od razu załatać

W praktyce biznesowej aktualizacja nie zawsze jest możliwa natychmiast. Czasem system jest krytyczny dla produkcji, producent aplikacji wymaga testów, urządzenie działa w środowisku OT albo okno serwisowe jest ograniczone.

Dlatego mitygacja nie zawsze oznacza wyłącznie instalację patcha. Może obejmować także:

• ograniczenie dostępu do podatnej usługi,
• zmianę konfiguracji,
• segmentację sieci,
• wyłączenie nieużywanej funkcji,
• zastosowanie reguł na firewallu lub systemie IPS,
• wymuszenie MFA,
• zwiększenie monitoringu,
• czasowe odseparowanie systemu,
• aktualizację w najbliższym możliwym oknie serwisowym.

Najważniejsze jest to, aby decyzja była świadoma i oparta na danych. Bez skanowania podatności organizacja często nie wie, czy problem jej dotyczy, gdzie występuje i jak pilna jest reakcja.

Najważniejszy wniosek

Raport Anthropic pokazuje, że sztuczna inteligencja może znacząco przyspieszyć tworzenie exploitów dla znanych podatności. To oznacza, że organizacje nie powinny traktować podatności N-Day jako problemu „na później”.

W świecie, w którym exploit może powstać w ciągu godzin, konieczne staje się skrócenie czasu reakcji po stronie obrony.

Nie oznacza to, że każdą poprawkę da się wdrożyć natychmiast. Oznacza natomiast, że organizacja powinna stale wiedzieć, jakie podatności występują w jej środowisku, które z nich mają najwyższy priorytet i jakie działania ograniczające ryzyko można podjąć, zanim luka zostanie wykorzystana.

Dlatego coraz większe znaczenie ma ciągły proces zarządzania podatnościami:

• regularne skanowanie infrastruktury,
• identyfikacja podatnych systemów,
• priorytetyzacja ryzyka,
• szybkie wdrażanie poprawek tam, gdzie jest to możliwe,
• stosowanie mitygacji tam, gdzie patchowanie wymaga czasu,
• weryfikacja skuteczności działań naprawczych.

0-Day przyciąga uwagę, ale to znane podatności N-Day bardzo często są realnym i najbliższym problemem organizacji. A wraz z rozwojem AI coraz częściej będziemy mówić nie o N-Day, lecz o N-Hour.

Właśnie dlatego regularne skanowanie podatności z wykorzystaniem rozwiązań takich jak OpenVAS Enterprise powinno być traktowane nie jako jednorazowy projekt, ale jako stały element utrzymania bezpieczeństwa IT.

Jeżeli chcesz sprawdzić, które podatności występują w Twojej infrastrukturze i jak zaplanować ich mitygację, UpGreat może pomóc w audycie, skanowaniu podatności oraz wdrożeniu procesu zarządzania podatnościami opartego o OpenVAS Enterprise.

Zapraszamy do kontaktu – umów się na spotkanie, zadzwoń do nas, napisz maila na adres biuro@upgreat.com.pl lub wypełnij formularz.  Po rozmowie przygotujemy propozycję dla Ciebie

Zapraszamy!