文章总结: 本文指出CISO无需对前沿AI新威胁过度恐慌,因当前入侵仍依赖凭证滥用等已知薄弱点。AI核心影响是加速攻防效率并提升基础安全紧迫性。建议利用AI作为效率杠杆,优先解决身份权限梳理、漏洞排序及配置管理等长期缺口。与高管沟通应从恐慌式要预算转向强调韧性建设,聚焦持续消解安全债务,真正落地基础安全运营。 综合评分: 85 文章分类: 安全建设,安全运营,AI安全
CISO能用前沿AI改变哪些安全工作?如何应对老板追问AI新风险?
走狗是狗哥 走狗是狗哥
安在
2026年7月3日 17:44 上海
在小说阅读器读本章
去阅读
我先把核心观点摆在最前面:不必为新出现的AI威胁过度恐慌。黑客依然在利用那些老生常谈的安全缺口入侵,不如借助AI,帮团队把基础安全问题彻底补好。
每当一项新的AI能力登上头条,我总能在董事会和高管会议上看到相似的剧情:
这项技术被渲染成攻击者手里的颠覆性杀器,讨论很快滑向最坏场景,最后安全负责人总会被问到类似的问题——我们是不是突然多了之前没有的风险敞口?
我的答案通常是否定的。
对绝大多数企业而言,更大的问题不在于Mythos这类前沿模型会一夜之间凭空造出一类全新风险,而在于这类模型会同时加速攻防双方的工作效率。
攻击者可以用它提速,防守方同样可以用它去识别、排序、修复那些摆在明面上、已经存在了好几年的薄弱点。
这也是我把Mythos等前沿AI视作信号、而非警报的原因。
它标志着网络攻防的成本逻辑正在发生变化,却不意味着安全基础原则不再成立。恰恰相反,它印证了基础安全的重要性。
那些资产可视清晰、补丁管理规范、身份管控严格、运营模式具备韧性的企业,无论AI接下来带来什么变化,都能处于更从容的位置。
这个视角之所以重要,是因为近期的入侵事件报告,指向的依然是那些我们熟悉的失效点。
威瑞森2025年数据泄露调查报告显示,凭证滥用与漏洞利用仍是企业被攻破的核心途径,且漏洞利用的占比还在持续上升。
换句话说,攻击者攻入企业的路径,依然大多是安全团队早已熟知的薄弱点。
真正的问题,始终出在基础工作上
以我的经验看,很多企业的问题不在战略,而在执行。
安全负责人懂基础安全,团队懂基础安全,审计、监管、董事会也都懂基础安全。
难的是在混合架构、老旧系统、云平台、远程用户、庞杂第三方依赖的复杂环境里,持续、稳定地把基础要求落地。
所以每当听到“AI会从根本上改变安全管控的有效性”这类论断,我都持保留态度。
绝大多数成功的入侵,起点都是一个已知、却没被修复、没被排对优先级、甚至没被发现的薄弱点:
一台没打补丁的外网系统,一项配置错误的身份权限,一处过度开放的权限,一段薄弱的网络隔离,一个好几年没人复核的服务账号,一个临时申请、悄悄变成永久的业务例外。
我见过太多安全项目,因为过度追逐最新的威胁叙事而失去节奏。
他们给边缘场景砸钱,却放任旧有的管控缺口敞开;没理清权责、流程和问责机制,就先采购一堆新工具;把安全成熟度当成一个个项目的堆砌,而非一套持续运转的运营体系。
这种做法在前沿AI出现之前就有风险,而如果模型进一步压缩攻击者的作业时间,它的风险还会更高。
如果说Mythos真的给多数企业带来了什么改变,那就是夯实基础安全的紧迫性变高了。
拖延的代价变大了,安全债务的惩罚变重了。那些本来就在资产盘点、漏洞梳理、“已知问题”与“实际整改”差距里疲于奔命的团队,压力会更大。
这种变化也该调整我们的工作优先级。
很多企业的漏洞积压越来越多,根源是各部门碎片化决策:基建团队管一块,安全运营团队管一块,身份、云、应用团队各自只看到问题的一个切面,完整的风险全貌反而丢失了。
这也是为什么很多企业看起来很忙,安全水平却没有measurable的提升。他们在处理问题,却没有持续消解攻击者真正会利用的薄弱点组合。
实操层面的结论很直白:
在高管们默认Mythos已经造出了全新威胁模型之前,不妨先回答一个更简单的问题——我们身上还有哪些薄弱点,是攻击者一眼就能发现、马上就能利用的?
在我看来,比起围绕“AI最终会变成什么样”展开空想式辩论,这个问题能带来更坦诚、更有价值的讨论。
AI能帮防守方,补上早就知道的短板
看待Mythos更有建设性的方式,是思考前沿AI当下就能从哪些地方提升防守能力。
我指的不是用AI替换分析师,也不是不加监督就把敏感决策交给模型。而是用AI去解决那些安全团队早就心知肚明,却一直没足够人手、没足够时间持续落地的问题。
身份安全就是很好的例子。
美国国家标准与技术研究院(NIST)提出,身份与访问管理是一项基础且核心的网络安全能力,绝大多数CISO也认同这一点。
但现实里,企业的身份环境中到处都是遗留问题:嵌套的用户组、继承而来的权限、过期的僵尸账号、不一致的角色定义、业务需求早已消失却依然保留的高权限。
这些问题不是看不见,只是很难做到实时、全局的分析。
而AI的价值正在于此。
它可以跨目录服务、云管控平面、工单系统、日志、策略库关联权限关系,梳理出异常的访问组合,识别潜在的攻击路径,并基于业务影响而非单纯的告警数量来排序修复优先级。它带来的不是更多噪音,而是更快的风险判断。
同样的逻辑也适用于漏洞与补丁管理。
多数企业已经有了扫描器、工单系统、数据看板。他们缺的往往是一套统一的判断标准:结合可利用性、暴露程度、补偿控制、资产重要性,到底哪些漏洞最关键。
前沿AI可以帮团队把长长的漏洞清单,浓缩成一份能切实降低风险的行动清单。
我在配置管理、检测工程领域也看到了类似机会。
安全团队早已淹没在碎片化的数据里。AI可以归一化多来源的证据数据,识别配置漂移,把看似孤立的信号串联起来,拼成更贴近真实情况的运营风险图景。
这对人手紧张的团队尤其重要——它意味着更多时间可以用来切实降低风险,而不是整理表格、去重告警、打通互相割裂的工作流。
这一切都不会取代专业安全人员的价值,只是给他们提供了效率杠杆。
在暴露面增长速度常年快于人员编制增速的安全领域,这种杠杆至关重要。
最关键的一点是:这不是呼吁把安全控制权交给AI,而是把AI用在回报最明确的地方——加速分析、优化优先级、帮团队补上长期存在的管控缺口。
换句话说,最大的机会不是搭建一套充满未来感的“安全表演工程”,而是终于能以业务可承受的速度,把基础安全真正运营落地。
董事会对话:该从恐慌转向韧性建设
Mythos等前沿AI应当触发的最重要转变,或许和技术无关。
它该改变CISO和董事会、CEO、业务负责人沟通风险的方式。
太多时候,新技术出现后,安全负责人只能被动开启恐慌式沟通:潜台词就是,攻击者有了新能力,所以企业需要新增预算、采购新平台、走一轮紧急审批。
有时候确实需要如此,但更多时候不必。
更优的应对方式,是把新的技术变化和现有风险优先级结合起来,强化那些能在多种威胁场景下都提升韧性的投入。
我和高管们聊AI带来的网络风险时,通常会把对话锚定在三个点上:
第一,绝大多数网络损失,依然源于可预防的薄弱点。这话听着不轻松,但它指向可落地的行动。
第二,身份、资产治理、补丁规范、第三方监管、应急响应能力的提升,其价值不止覆盖某一个威胁周期。
第三,能管好复杂性的企业,永远比反应最激烈的企业表现更好。
这套沟通框架,也能帮董事会问出更有质量的问题。
他们不该问“我们针对Mythos做了什么”,而该问“AI会让我们哪些现有短板的代价更高、更容易被利用”;
他们不该只要求单点解决方案,而该问安全团队和IT运营团队有没有在最高风险的整改工作上对齐;
他们不该只考核工作量,而该考核安全债务有没有持续减少。
对CISO而言,这是一个机会。
Mythos等前沿AI可以被用来制造新一轮恐慌、争取预算,也可以被用来提升整个企业风险对话的质量。
我认为更优的路径非常清晰:借行业关注度夯实安全基础,用技术优化风险优先级,借这个窗口期,减少那些攻击者已经利用了几十年的、长期存在的管控失效问题。
这就是我不把Mythos等前沿AI当成需要过度反应的警报的原因。
它是一个信号:为AI时代准备最充分的企业,恰恰是那些终于把安全负责人说了多年的道理落地运营的企业——韧性源于严谨的执行,而非跟着新闻头条临时抱佛脚。
原文链接:https://www.csoonline.com/article/4189600/mythos-is-a-signal-not-a-siren-what-frontier-ai-should-change-for-cisos.html
安在企业(用户)会员服务
助力全生命周期安全意识提升
“安在企业(用户)会员服务”,为所有企业提供一站式的网络安全支援服务,包括意识宣传、培训教育、效果检验、专业圈子、知识社区、专业培训、参选评奖等多个板块,助力网安从业者高效履职,实现个人与企业安全能力同步升级。
小投入大防护!安在推出企业(用户)会员服务,点击标题阅读详情。
深度贴合企业不同规模、安全水平投入以及员工安全意识的不同发展阶段,特设5级安全意识培训服务体系,为企业用户量身匹配适配的安全意识解决方案。
本文展示所有类型素材,均包含在企业(用户)会员服务中,如有意向,欢迎垂询。
加入诸子云知识星球
获取更多“安全意识资料”和“网络安全报告”
<
滑动查看下一张图片
>
**END
点击这里阅读原文**
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:安在 走狗是狗哥 走狗是狗哥《CISO能用前沿AI改变哪些安全工作?如何应对老板追问AI新风险?》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。











评论