文章总结： 文章探讨AI对网络安全行业的影响，指出AI不会完全取代从业人员而是推动角色从执行者转向决策者。作者认为漏洞不会因AI审计工具消失，行业需求反而可能扩大，建议通过实践掌握AI工具并深入agent开发。强调AI安全是风口但需结合传统安全知识，最后提供个人网站资源推荐。 综合评分： 84 文章分类： 安全意识,安全建设,安全培训,技术标准,其他

网安行业的我们，会被AI淘汰吗？我写了五千字，希望可以帮到你

原创

棉花糖糖糖 棉花糖糖糖

棉花糖fans

2026年5月25日 12:01 四川

在小说阅读器读本章

去阅读

前言

大家好，这里是棉花糖，一个四年网安自由职业者，bdziyi.com的站长

最近微信来问我AI相关的问题的师傅逐渐增多，很多问题的核心是相同的，最近一年忙于网站运营靶场建设没有在公众号和师傅们发一些心得，借这个契机写一篇长文。

这篇文章写了很久，内容很长。总共七个问题，有五千字左右，建议您认真阅读，不建议使用AI总结，会遗漏很多信息点。

1、会被淘汰吗？怎样不被淘汰？

这个问题应该是最让人关心的了，“淘汰”这个话题总是会让人感到焦虑，有不少培训班、公众号都在借此赚钱，那究竟会不会被淘汰？

答案是会，但不是全部，核心依然是人，而不是AI。那为什么现在很多师傅极其悲观？是因为很多师傅都在传统的思考路径上钻牛角尖，最经典的一个想法就是“和AI比能力”。

在以前，很多人的核心竞争力就是某某技术比较强，比如应急、代码审计、挖洞等等，以此作为自己的“职业护城河”，所以现在以代码审计为例，很多师傅总是陷入“我代码审计能力不如AI，所以我会被AI淘汰”这样的逻辑，单从技能发展来看这并没有问题，但忽略了AI只是工具，而人是可以作为独立个体的这一条件。

独立个体的影响随着科技的发展一定是越来越重要而非变得边缘化，以现目前AI能力的阶段来说，一个高级工程师+AI的作用和效率还是远大于入门选手+AI，但这依然是在能力、经验上用人工去补足AI，各种纯文档形式的skill就是这种补足的体现。

这一类能力、经验上的差距最终都会被重资投入的算力去填平，那么独立个体的影响就会从填平能力转移到指挥决策。

什么意思？比如说你以前是做代码审计的，在AI极其强大之后，你的能力就应该从单一代码审计工程师升级为你之前的组长、老板，你的组长或者老板会自己亲自做代码审计吗？

他需要做的是如何协调不同能力的人，产出的下一步处理，而你的作用也应该变成如何协调不同能力的agent，考虑产出的结果如何让你获得收益，AI会的更多技能如何让你的综合能力变得更强，也就是说，以前你有需求但不会的东西，现在有了下级员工（agent）帮你做产出。

所谓拥抱AI，就是把自己的level提升，从执行者改为决策者。

我们讲到这里，说到底依然还是技术层面的转变，至于更加上层的领导者或者更贴近人与人之间的交互参与者，就更难被AI取代，因为AI的底层原理就是达成目标，也就是“奖励机制”，正确就有奖励，错误就有惩罚，但现实业务中，人与人之间的交涉往往不存在纯粹的正确和错误。

想想自己和甲方沟通的时候，其实大多数情况只是选择不会做错的选项，而不是正确的选项，也无法判断什么才是绝对正确的选项，更何况真实世界中企业内部还存在超级多其他环节的交互，这种交互需要的并不是技术能力，而是人的综合判断能力，这需要的上下文将超级长，长到足以成为人类强于AI的护城河。

2、AI这么强，网安行业还会存在吗？

这个问题极其让我头疼，每次有师傅问到都很难三言两语讲清楚，超级多师傅认为现在AI能力极强或者说未来超强的时候，会导致无洞可挖，从而没有安全问题存在，从而导致网安行业不存在。

传播最出名的逻辑就是“开发做项目只需要用AI审计一遍就没洞了，发版的时候就没有洞了我们挖不到洞了”。

如果要解答这个问题，我们首先要知道一个概念：有没有漏洞存在的影响因素不只是有没有强大的审计工具。

SQL注入在20年前就被开发们发现可以通过参数化查询去防护，十几年前就通过ORM框架去默认处理，20年前就有相当成熟的SQL注入白盒污点扫描，但2026年的今天，我们熟知的互联网大厂们都依然还存在sql注入，甚至是核心产品。

如果世界上出现强大的审计工具就可以让每个项目都不存在漏洞，那我们在十年前就该没饭吃了。

想知道为什么会出现这种情况首先要明白开发到业务发布的大概流程，越大的企业他们内部开发的压力越大，不只是网安卷，业务、开发也同样卷，从开发到上线的工期往往非常紧张，一般都是尽量保证RCE这种重大问题首先不存在，其余不会被拿下权限的漏洞都是先不管或者粗管，甚至还有很多边缘系统外包，外包做事就更粗糙了，业务的核心是先抢着上线赚钱而不是严格做完所有安全检查再发布，按极其标准的安全方案去做业务的话，说难听点就是吃屎都吃不上热乎的了。

我不否认随着发展，比传统方案更方便快捷有效的AI会进一步缩小漏洞出现的可能性，所谓水涨船高，对安全研究员的要求也就越来越高，所以观察近些年网络安全漏洞的组成，能够粗浅的直接rce或者注入或者存在其他问题的可能性越来越小，复杂的业务逻辑导致的问题和多层链组合导致的问题逐渐成为主流。

从更宏观的角度来看，大家都知道攻防一直是不对等的，攻击入侵所需的成本一直都远低于企业防守成本，综合之前提到的技能覆盖导致角色升级，AI冲击带来的安全需求我个人觉得起码在很长一段时间内是扩大而非缩小，攻击变得越来越简单，从攻击手法的升级到防御手段的普及之间存在超级大的时间差。

网络安全是这样的，黑客只需要猛猛挖掘就可以，而防御要考虑的事情就很多了（沟槽的鸣式），再综合国内特有的国情，网安行业至少在没有诞生下一次诸如AI这种革命巨变之前都还有不少发展余地。

3、AI能直接帮我们在SRC赚钱吗？我想一把梭

最近有好多师傅在我微信问到AI挖洞这个话题，首先AI黑盒挖洞肯定是可以挖的，但也受制于人。

问到这个问题的师傅估计大多数都是想着挖SRC或者众测直接换钱，那么现在目前的AI在黑盒挖掘中最强的部分依然是数据处理和判断，包括但不限于JS收集、接口收集、参数收集、自动fuzz、结果判断、输出整理、数据包加解密，乃至逆向、客户端分析，这些都是技能、数据层面的赋能，那么它比传统工具强的地方就在于它可以更方便的实现你的思路。

为什么那些SRC大牛能挖到高危严重，是因为他们对目标业务非常熟悉，有自己的对应漏洞挖掘方法，熟悉厂商特性，AI在他们手里面就是一个批量复刻自己思路从而自动化的利器，他们的角色就如第一问一样，是决策协调者。

而如果你本身就不具备他们的特质，那你用AI去挖掘，AI就只会像更智能更容易启动一点的扫描器，它大概率无法让你一把梭出货换钱，棉花糖已经烧了几百块token去证明这一点，claude,gpt,deepseek都用过，更高级的模型并不能帮你增加多少一把梭赚钱的可能。

棉花糖token使用图

不只是SRC，传统渗透也是一样，目前AI能帮你提升的部分始终赶不上大牛们用AI创造的效能，虽然随着开源社区的贡献（各种乱七八糟的文档类型skill就是贡献给AI挖洞方法），AI能力会越来越强，但如果你老想着一把梭，或者用别人公开的skill去一把梭，那只有跟在别人尾巴后面吃剩饭了，运气不好剩饭都吃不到。

就算AI在一个流程中能占百分之九十九的作用，人最终参与的那百分之一，也是影响产出的最重要的因素，举个极端的例子，orange可以在AI帮助下一周时间挖出价值20万美刀的漏洞，同样使用gpt和claude的你，可以做到吗？

4、不要当AI文盲，如何不当AI文盲

在AI作为各行各业尤其是计算机行业最最热门话题的当下，我的一万多位微信好友列表中，依然还有师傅因为被动或主观原因没能开始使用AI，又或者沉迷于更加直接了当的使用方法比如豆包等智能体问答、纯WEB方式给予自己帮助等等形式，以及不熟悉各种AI词条，诸如什么是claude code，什么是ccs，什么是codex，龙虾和爱马仕的适用场景，claude和gpt和deepseek到底有什么差别、不同服务提供商可能存在什么问题、agent是什么、token消耗等等等等一系列在当前时代应该被列为常识的问题。

解决方法其实很简单，多用多探索，多烧token，在实践中去探索、感受，以上提到的名词意义问题其实AI本身都可以给你答案。

deepseek解释claude code

AI时代，实践本身就是一个不怎么费功夫的事情，学习早已不应该被名词意义、安装软件这种事情拦住，比如我，目前连安装软件都懒得搜教程再去手工装。

image-20260524213010711

当你不再因为这种名词概念性问题被拦住之后，你应该再去看更多的模型特性和分析资料，浅尝辄止，你可以不用懂底层原理，但需要知道模型分了几类，语言、通用、图像、视频、音频等等，各自有什么热门的一线模型，还可以尝试本地搭建娱乐，了解vllm、ollama框架等等。

有了综合性的知识储备和体验，你才能真正开始善用AI，别人的总结经验很少会转化为你自己的储备，别人的方案也不一定适用于你。

一部分师傅非常纠结token费用，其实我也是从免费->国产->claude、opus中转，最终想一个月爽用（非猛蹬）好一点AI的预算基本上在一千块以下，那暂时无法接受这个消费的师傅可以从免费或者国产coding入手，我这里推荐各位使用deepseek:

三千七百万token

费用

也是非常物美价廉了，直到你触碰到模型能力上限并有一定转化收益时再提高使用的模型到gpt或者claude，有精力折腾的师傅也可以去研究各种白嫖方案，包括但不限于gpt free/低价plus号池、github项目偷泄露key等等。

5、又该如何更进一步

那当我们已经能够将AI融入我们的日常工作，可以替代一些手工活比如数据处理、文档编写、项目开发之后，还想更进一步，又该关注什么？

我的建议是深入agent开发，研究自动化工作流，用别人的现成agent、成品工作流依然属于下游使用者，自己可以创造才能有更大的发挥空间。

这部分可以多看成熟的开源项目，比如乱七八糟的各种自动化挖洞，自动化审计，取其精华去其糟粕，再加入自己的心得和经验，最终得到自己的自动化工作流，把你的经验、流程，做成系统，由AI主导的自动化应该是未来蛮热门的一个方向。

我关于这部分内容的建议是能用传统方案解决的点尽量不要用AI，AI只应该出现在以往需要人工判断的节点中发挥作用。

比如我自己写的平台就是先用传统方案采集，再由AI判断处理，工作流中最好不让AI负担太多数据获取的工作，它更适合数据处理。

这个平台也不用找我要，等我再迭代优化达到自己的合格要求后会考虑公开给大家在线使用以及设计实现思路。

6、AI安全要去学习吗？是否是新的风口？

AI安全是风口，但真正的疯狂大热潮还没有到来，同时它的学习成本也不低，也需要投入精力深耕，但目前来说收益应该是可以对得起你的付出。

做AI安全应该要对自己应该要有一个清晰的评估，对于大模型原理、算法、传统安全、AI业务理解你可以深入到什么层次，决定了你在AI安全领域能扎根到什么地步，AI安全即是AI也是安全，既有传统安全的部分又有完全无关传统安全的部分，不同部分的深入占比权重可能影响你的未来发展。

我已经见过不少师傅接触AI安全，重点都在国外已有理论的应用中，即便只是应用国外理论，在国内也属于前沿技术，依然可以有不错的综合收益，这就是新领域的好处。

关于AI安全更深层次的部分的讨论可以去找我的宜宾老乡：洺熙，我毕竟不够深入，意见有限，各个平台直接搜洺熙都可以搜到他，对了洺这个字念ming。

明天我将在公众号发一份老外的AI安全课程，我已经做好了中英双语字幕，不算很深入，比较刻板印象，入门还不错，给大家当福利了，记得关注我哦

7、AI到底会推动经济增长吗？

这个问题离安全太远了，也太深了，我们作为普通人其实不该想这么多，但很多师傅总是持悲观态度，我也想发表一下我的看法。

我的答案是一定会的，只不过需要时间的沉淀，珍妮机刚发明时，人们对于衣服的需求也没有现在这么高，提升生产效率是工业发展的核心，每个颠覆性的生产力工具最终目的其实都是提升生产效率，就像有更强的芯片更高的算力，才能炼出更强的AI，底层基础决定上层建筑，在科技飞速增长的时代，生产力永远不会嫌多。

有师傅说，AI只是加剧贫富分化，并没有增加经济增长，额，其实AI已经增加了不少经济增长，只是还没有像汽车、高铁一样走进所有人的生活。

同样以汽车举例，在财富的角度来说，它们同样加剧贫富分化，但也确实提升人民的幸福度，从没有汽车到汽车是少数人的交通工具再到如今满大街汽车，科技最终依然服务于人，至于贫富分化，我只能说不要把别人的所得看成自己所失。

最后

感谢你能看到这里，总而言之，这次的长文是希望能够帮助师傅们解决一些困惑，如果您觉得写的还可以，不要吝啬您的点赞、推荐、转发，这对我有非常非常大的帮助，同时也可以在留言区给出您的见解，以帮助更多的人。

同时如果您对内网靶场、SRC靶场、WEB靶场、应急响应靶场、网安方案、资料文档、各种各样的网安工具、实用的在线功能、教程资源感兴趣，欢迎看看我的网站广告，包您心动：棉花糖会员站介绍(26年4月26日版本) ：在线内网靶场、网安资料方案、在线工具全能资源站

网络安全交流群请在公众号菜单栏点击找棉花糖，加棉花糖好友后发送“棉花糖fans”，邀请您进群。

CISP全系列、国内外网安考证也可以在公众号菜单栏点击找棉花糖，微信联系哦，爱你😘，我们下篇长文再见

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：棉花糖fans 棉花糖糖糖 棉花糖糖糖《网安行业的我们，会被AI淘汰吗？我写了五千字，希望可以帮到你》