Основной вывод
Oracle официально объявила: С мая 2026 года Critical Patch Updates (CPU) перейдут с ежеквартального на ежемесячный выпуск. Это первый раз за более чем 20 лет, когда Oracle нарушает фиксированный квартальный ритм обновлений безопасности.
Компания прямо заявляет, что непосредственной причиной этого изменения является ускоренная итерация передовых моделей AI — скорость появления новых векторов атак с использованием AI далеко превысила то, с чем может справиться традиционный квартальный цикл патчей.
Сравнение изменений
| Параметр | Старый ритм (ежеквартально) | Новый ритм (ежемесячно) | Влияние |
|---|---|---|---|
| Частота выпуска | 4 раза в год | 12 раз в год | Нагрузка на операционную команду увеличивается в 3 раза |
| Окно экспозиции уязвимостей | До 90 дней | До 30 дней | Окно эксплуатации атакующими значительно сокращается |
| Тестовый цикл | ~60 дней | ~20 дней | Процесс QA должен быть автоматизирован |
| Аудит соответствия | Ежеквартальное согласование | Ежемесячное согласование | Команде compliance необходимо скорректировать цикл отчётности |
Почему сейчас
1. Скорость атак, движимая AI
Передовые большие модели используются для автоматического обнаружения уязвимостей и генерации кода атак. То, что традиционно занимало у команд безопасности недели анализа, AI-агенты могут завершить за часы. Квартальный цикл патчей больше не успевает за этой скоростью.
2. Развёртывание корпоративного AI расширяет поверхность атаки
По мере того как предприятия массово развёртывают AI-агентов (Microsoft Agent 365 только что вышел в общий доступ, Anthropic выпустил шаблоны для финансовой отрасли), традиционные корпоративные программные системы нуждаются в глубокой интеграции с AI-системами. Эта интеграция вводит большое количество новых конечных точек API и потоков данных, каждая из которых является потенциальной поверхностью атаки.
3. Собственная AI-стратегия Oracle
Oracle активно продвигает свой бизнес AI-инфраструктуры (облачные сервисы OCI GPU, функции AI-базы данных). Как провайдер AI-инфраструктуры, безопасность собственного программного обеспечения напрямую влияет на доверие клиентов.
Цепная реакция других вендоров
Oracle — не единственный вендор, ускоряющий цикл обновлений безопасности. Тенденция распространяется:
- Microsoft: Выпустила структуру безопасности Agent вместе с GA Agent 365
- Google: Участвует в программе предварительного тестирования CAISI, активно принимая проверку безопасности правительством
- AWS: Подчеркнула архитектуру нулевого доверия для AI-рабочих нагрузок на re:Invent
Рекомендации к действию
| Роль | Оценка влияния | Рекомендуемое действие |
|---|---|---|
| Oracle DBA | Ежемесячные патчи означают более высокое операционное давление | Создайте автоматизированные тестовые конвейеры, сократите ручное вмешательство |
| Команда безопасности | Векторы атак AI требуют новых стратегий защиты | Разверните системы обнаружения вторжений с поддержкой AI |
| CIO/CTO | Затраты на безопасность структурно растут | Переведите бюджет безопасности с «реагирования на инциденты» на «непрерывную защиту» |
| AI-инженер | Безопасность Agent больше не является опциональной | Включите оценку безопасности на этапе проектирования Agent |