文章总结： 本文阐述了AI对网络安全的颠覆性影响，指出短期面临漏洞激增、攻击工业化及智能体失控等挑战。建议防御者利用AI构建强基线防御，实施持续监控，通过自动化修复与红队演练提升响应速度。长期看防御者可利用AI规模化修复漏洞，枯竭攻击资源以逆转态势。 综合评分： 88 文章分类： AI安全,安全建设,安全运营,漏洞分析,红队

人工智能正在成为彻底颠覆网络安全领域的一股力量

原创

天御 天御

天御攻防实验室

2026年2月24日 13:30 广东

能够彻底颠覆安全领域的力量并不常见。而我们现在面临的AI，正是这样一股力量。

12个月前，我对AI的网络安全影响持一种渐进式的观点。具体来说，我认为其影响将非常重大，但事物会逐步演变，我们将在适应对抗性利用的同时，也利用它来改进防御。

现在，我逐渐认为，这将产生比我们最坏的假设还要严重的负面冲击。但与此同时，它在防御性应用方面也代表着更大的积极影响。

我是短期的悲观主义者，但却是狂热的长期乐观主义者。

四大核心担忧，每一项单独来看都极为严峻，但合在一起，则构成一场史诗级的巨变。

• 漏洞海啸即将来临。
• 攻击者正在迅速实现工业化。
• 一切皆可伪造：内容、个人、公司。
• 数万亿计的智能体将展现出涌现特性（我在目睹Moltbook现象之前就讨论过这一点）。

让我们更详细地审视这些，并探讨其后果及应对之策。

1. 漏洞海啸

由于AI增强工程（不仅仅是”氛围编码”）的推动，更多软件正在并将被生成。企业中一直存在积压的软件需求，而接近零的软件生产成本将填补这一需求。这并不意味着，与一些评论员断言的不同，对软件工程师的需求会消失。相反，软件工程的本质（相对于代码编写）将更接近其历史核心：需求、架构、设计以及复杂性管理。

尽管最新的模型在生成错误更少（包括安全方面）的软件方面表现越来越好，但它们远非完美，就像人类一样。要将LLM驱动的软件生产与更可预测、声明式驱动的工作结合起来，以符合安全不变性（如使用标准框架、工具、API、经保障的软件供应链以及其他模式来缓解常见漏洞类别），仍有大量工作要做。

AI在发现许多（但非全部）类型的漏洞方面表现出色，甚至能发现那些在其他技术面前多年未被发现的漏洞。许多模型擅长使用工具（如模糊测试引擎）来发现更多漏洞。逆向工程也正变得由AI驱动，从而带来更高的投入产出比。

因此，随着软件数量的增加（漏洞密度至少保持恒定），以及发现更多新漏洞和潜在漏洞能力的增强，漏洞数量将急剧增加（至少在短期到中期内如此）。

2. 攻击者实现工业化

安全领域的一个小秘密是，一直以来，可利用的漏洞数量总是多于实际被攻击者利用的数量。原因有很多。许多漏洞虽然可利用，但并不能立即为对手带来好处。要开发出一个可利用的漏洞链，以实现对攻击者（他们和我们一样，也有上级和/或预算）有足够回报的目标行动，是困难的。

尽管有自动化和复杂的经济价值链，但攻击者的资源相对不足，无法利用更多目前存在且将来会更多的机会目标。

AI将改变这一切。因此，越来越多的漏洞中将有更多漏洞在经济上更易于利用，更容易被链接在一起，让攻击者能够更快、更果断地实现其目标行动。

3. 对真实性的追求

我们已然身处一个难以辨别语音、视频、图像或其他内容是否为AI生成的世界。可以说，检测伪造内容的模型仍将有效，但它们必须集成到流程中才能发挥作用。

我们看到AI生成的假求职者、假员工成功入职，以及现有员工在多个组织中同时担任多个角色——所有这些都有AI的支持。

我们将会发现，在个人、商业或公民生活中，越来越难以信任与任何内容、公司或个人的互动。

作为个人和企业，我们的终极追求将是真实性。这不仅是为了知晓什么是真实的，也是为了能够确保由人类产出的东西具有更高的价值。

4. 企业智能体控制平面

我们理所当然地担忧AI在生活和业务中安全可靠地部署。减轻模型投毒、提示注入等诸多风险至关重要。但同样需要关注的是，智能体及其他AI应用所产生的二阶风险。我之前在此处讨论过其中一些问题。

我们必须为智能体及其工具使用，植入控制措施、配置身份、权限和限定的行动范围。但我们还需要控制和观察将存在于我们企业中的数万亿智能体，以及将存在于我们个人生活中的成千上万个智能体的集体行为。

可以这样理解：我可以为特定的智能体（例如，被授权订购物料的供应链管理智能体）规定一项控制策略。我也可以为处理应付账款流程的智能体和进行库存对账的智能体做同样的事情。这一切可能都很好，但如果这些智能体之间有相互通信的路径，并因某种原因（请记住，这些是概率性行为，且防护栏不完美）决定订购一批物资，将其账外处理，并使其成为库存对账中预先批准的差异，那么当事态恶化时，你可能永远无法察觉。除非你计划在一组智能体的行为上强制执行确定性策略或其他不变性。这就是在企业智能体控制平面中所需的。

所以，情况看起来相当严峻。我们将拥有更多软件，其中包含更多可被发现的漏洞。我们将面临资源约束更少、能以更有效方式利用这些漏洞的攻击者。我们将在很大程度上无法辨别生活和工作中的任何事物是否真实。将有数万亿的智能体以不可预测的方式相互作用。这是相当悲观的看法，对吧？那么，我为何仍对未来抱有狂热的乐观态度呢？

强大防御的价值

或许在某些方面需要以AI制AI，但对抗人类、人类与AI结合以及纯粹的AI，最强大的防御是一套强大的基线防御。这样的基线包括：

• 强身份验证。
• 分层防御与隔离。
• 关键漏洞的快速修复。
• 有效的检测与响应。
• 从架构上减少潜在事件的爆炸半径。
• 身份与权限管理。
• 双重授权与软件允许列表。
• 软件供应链控制。
• 配置/基线加固。

鉴于攻击者发现、利用机会目标并将其货币化的能力日益增强，防御者同样必须坚持不懈地确保其基线控制措施得到普遍应用、严格保持最新并得以执行，这一点变得至关重要。

如此强大的基线对许多组织来说并非易事，要将维持其实施的运营纪律制度化则更为困难。但这必须做到。

持续控制监控 – 入场券

要确保基线控制措施得到始终如一的贯彻（并针对特定关键资产补充一些更高级的控制），仅凭一厢情愿是无法实现的。这需要通过实施一种深入人心的持续控制监控实践来实现。更重要的是，不仅仅是发现预期控制部署或性能的中断，而是要采用”控制可靠性工程”实践，诊断根本原因，从错误中学习，并引入自动化以减少反复出现故障的可能性。

把握防御者的优势

短期内，有时攻击者似乎对防御者拥有永恒的优势。但随着时间的推移，AI将为防御者带来比攻击者更多的优势。防御者拥有结构性优势，因为他们掌控着自己的环境。他们拥有关于其环境和特定上下文的数据。

具体性是防御者的主场优势，而攻击者主要拥有通用性。

但防御者确实需要实际采用AI来增强，然后从根本上重新构想他们的能力。这可以通过多种方式实现：

• 迭代改进工作流程。不要低估AI在 workflow 生产力方面带来的几十或几百个微小改进对一个组织的综合变革效应。
• 在攻击者之前发现并修复漏洞。
• 同样，使用AI进行配置管理和漂移检测。权限管理也是如此。
• 部署防御性智能体集群将产生深远影响。

除了防御性地采用AI之外，防御者在设计其环境的可防御性方面也拥有优势——涵盖预防、检测和响应/恢复。

说攻击者拥有优势，因为他们只需成功一次，而防御者必须永远正确，这已是老生常谈。换个角度来看，防御者可以做到让攻击者必须始终保持不被发现才能成功。防御者可以架构一个环境，将潜在的攻击者活动推入布满传感器的区域。

同样，防御者可以越来越多地使用欺骗技术来提高AI驱动攻击的工作量和不确定性。他们可以使用AI自动响应攻击。他们还可以使用AI从根本上改善对合法IT流量的认知，从而实现更积极的隔离，这能减少爆炸半径，并增强对即使是初始成功的攻击者的遏制和响应选项。

发现并修复整类漏洞

优先快速修复已知的关键漏洞，或那些组合在一起构成关键风险的漏洞链，变得更为重要。同样至关重要的是，组织应采用相同或更优的漏洞发现技术来查找自身的漏洞。此外，防御者可以积极采用自动修复能力，以加快开发、测试和广泛部署修复程序的速度。

在一个漏洞被发现和利用的数量更多、频率更高的世界里，运用80/20法则的能力至关重要。也就是说，找到那20%的工作，通过部署针对整类漏洞的缓解措施，来减少80%当前和未来的潜在漏洞。这可能是在整个代码库中强制实施工具和框架，以缓解常见的漏洞，如SQL注入、CSRF、XSS等。也可能是实现内存安全库、强制执行更严格的保护性编译器标志，以及将某些关键代码迁移到内存安全语言。

速度制胜：智能体与OODA循环

速度就是一切。关键在于防御者如何能比攻击者适应得更快，运行他们的OODA（观察、瞄准、决策、行动）循环。这说起来容易做起来难。精心构思、协调一致并持续测试的智能体，用以增强所有主要安全及相关活动，将变得至关重要。

全员红队演练

红队演练，是真正的红队演练，而非渗透测试或漏洞扫描，将成为所有组织的最低标准实践。随着此类服务成本的崩溃，在AI的推动下，通过红队演练使自己不断接近完美，将变得可行。

通过红队演练，让自己不断接近完美。

但自然，这只有在你有能力快速修复发现的问题，并制定和部署结构性变更以提高AI驱动红队演练的难度时，才有效。

不信任，更要验证

我们这个万事皆可伪造的新世界意味着我们能信任的东西越来越少。即使我们想信任自己的员工，我们可能也不知道我们曾信任的员工是否还是同一个人。我们的企业，乃至生活，在各个层面都将不断遭受诈骗、欺诈和虚假信息的冲击。武装我们自身和我们所处的流程以抵御这种情况，将成为必需的默认设置。实施环境控制（即融入背景的防御）来缓解这些风险，将成为一个差异化因素，因为我们无法承受因应对这些问题而带来过多的摩擦。

结论： 我们在网络安全领域所经历的一系列叠加变化令人深感担忧。但这是一个过渡点。对于我们所面临的风险，我们应该持短期悲观态度。与此同时，防御者面临的机会也是巨大的。是的，攻击者可以发现和利用更多漏洞，但与此同时，防御者（其数量远超攻击者）也可以使用相同的技术，以不断扩大的规模发现和修复漏洞。作为防御者，我们可能担心一个由AI驱动攻击、整合新漏洞的世界。但攻击者同样应该担心，防御者呈指数级扩大的规模，正在从长远角度枯竭漏洞的供给。在所有这一切中，仍然只有一个根本性的防御——那就是不懈的速度。最终，尽管短期内持悲观态度，但我对未来仍然抱有狂热的乐观。

本文作者：菲尔·维纳布尔斯

推荐阅读

闲谈

1. 中国网络安全行业出了什么问题？
2. 国内威胁情报行业的五大“悲哀”
3. 对威胁情报行业现状的反思
4. 安全产品的终局
5. 老板，安全不是成本部门！！！

威胁情报

1.威胁情报 – 最危险的网络安全工作 2.威胁情报专栏 | 威胁情报这十年（前传） 3.网络威胁情报的未来 4.情报内生？| 利用威胁情报平台落地网空杀伤链的七种方法 5.威胁情报专栏 | 特别策划 – 网空杀伤链 6.以色列情报机构是如何远程引爆黎巴嫩传呼机的？ 7.对抗零日漏洞的十年（2014～2024） 8.零日漏洞市场现状（2024）

APT

1. XZ计划中的后门手法 – “NOBUS”
2. 十个常见的归因偏见（上）
3. 抓APT的一点故事
4. 揭秘三角行动（Operation Triangulation）一
5. 闲话APT报告生产与消费
6. 一名TAO黑客的网络安全之旅
7. NSA TAO负责人警告私营部门不要搞“黑回去”
8. 我们为什么没有抓到高端APT领导者的荷兰AIVD
9. 抓NSA特种木马的方法
10. 美中央情报局（CIA）网络情报中心

入侵分析与红队攻防

1. 入侵分析与痛苦金字塔
2. 资深红队专家谈EDR的工作原理与规避
3. TTP威胁情报驱动威胁狩猎

天御智库

1. 独家研判：五眼情报机构黑客纷纷浮出水面
2. 美军前出狩猎并不孤单，美国网络外交局优先事项分析
3. 《国际关系中的网络冲突》
4. 首发 | 特朗普政府对华网络政策评估

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：天御攻防实验室 天御 天御《人工智能正在成为彻底颠覆网络安全领域的一股力量》