夜雨聆风
AI 时代的网络安全:不是用新工具收割旧漏洞,而是重建安全生产方式
网络安全正在经历一次新旧时代的转换。
这种转换并不是简单地表现为“攻击者开始使用 AI”或“防御者开始使用 AI”,也不是传统安全工具被大模型包装一遍之后重新销售。它更深层的变化在于:AI 正在改变安全工作的生产方式、价值分布和人才结构。
在这个时间点,很多人最先看到的是 AI 对传统漏洞挖掘的增强作用。模型可以阅读代码、总结逻辑、生成测试用例、辅助 fuzzing、编写 PoC、分析崩溃、生成漏洞报告。于是,一个很自然的方向出现了:用 AI 更快地挖传统漏洞,用 AI 扩大漏洞赏金、审计、红队和攻防演练的产出。
这当然不是完全没有价值。相反,在短期窗口期内,它会产生明显收益。AI 会降低一部分漏洞发现工作的门槛,提高重复性分析的效率,也会让原本需要较多人力的代码审计和漏洞验证流程变得更快。DARPA 的 AI Cyber Challenge 已经展示出自动化系统在发现和修复漏洞上的进展:决赛中参赛系统分析了超过 5400 万行代码,发现 63 个合成漏洞中的 54 个,并修复了其中 43 个;官方也强调评分关注的不只是发现漏洞,还包括快速生成补丁和高质量漏洞报告。
但如果我们把 AI 时代网络安全的机会,仅仅理解成“更快地挖洞”,那就低估了这场变化。
真正重要的不是 AI 能不能帮助安全人员更快完成旧时代的工作,而是:当 AI 具备可靠发现漏洞、解释漏洞、修复漏洞、验证补丁和执行安全任务的能力后,网络安全本身应该如何被重新设计。
一、AI 挖漏洞是窗口期,不是终局
AI 挖掘传统漏洞的能力会带来一个短期窗口期。
在这个窗口期里,熟悉传统安全的人可以利用 AI 放大自己的经验。原来需要手工阅读的代码,可以让模型先做语义归纳;原来需要重复构造的测试用例,可以让模型辅助生成;原来需要大量时间撰写的报告,可以让模型自动整理;原来需要多人协作的审计流程,也可以被 AI 工具链部分自动化。
这会产生一批“旧时代的收割者”。他们的优势来自两个条件:一是传统漏洞体系仍然存在,二是 AI 能力尚未完全普及。只要这两个条件同时成立,用 AI 去放大传统漏洞挖掘能力,就能形成短期红利。
但问题在于,这种红利并不稳固。
当 AI 能够可靠挖掘漏洞时,也就意味着 AI 同样能够被用于更早阶段的安全控制。它可以在需求阶段识别滥用场景,在架构阶段分析信任边界,在开发阶段提醒危险代码模式,在测试阶段生成边界用例,在 CI/CD 中阻断高风险变更,在运行阶段结合上下文发现异常,在修复阶段生成补丁并验证影响。
也就是说,AI 可靠挖洞的那一天,同时也是 AI 可以大规模推动安全前移的那一天。
这正是传统漏洞挖掘价值被重新定价的原因。发现问题本身会越来越自动化,单纯“找到一个洞”的稀缺性会下降;更高的价值会转移到如何减少漏洞产生、如何缩短修复链路、如何证明修复有效、如何让安全成为工程系统默认能力。
Google Project Zero 和 Google DeepMind 的 Big Sleep 是一个很典型的信号。Google 公开称,Big Sleep 在 SQLite 中发现了一个可利用的栈缓冲区下溢问题,并在其进入正式发布前报告给开发者,开发者当天完成修复,用户没有受到影响。这个案例的意义不只是“AI 找到了一个漏洞”,而是“AI 把漏洞消灭在攻击窗口出现之前”。
更进一步,Google Cloud 后续还称,Big Sleep 结合 Google Threat Intelligence Group 的威胁情报,识别出一个攻击者已知且即将利用的 SQLite 漏洞,并在被利用前推动修复。无论我们如何评价这类案例的边界,它都说明防御侧真正想要的不是更华丽的漏洞报告,而是预测、修复、阻断和闭环。
所以,AI 挖漏洞是重要信号,但不是终局。它告诉我们:AI 已经开始触达安全工作的核心能力。但如果停留在“用 AI 做自动化漏洞猎人”,就会错过 AI 时代真正的战略机会。
二、真正的机会是安全生产方式的重建
传统安全工作长期围绕几个核心对象展开:漏洞、资产、权限、日志、告警、样本、流量、配置、响应。这些对象当然仍然重要,但它们大多出现在问题已经产生之后。
旧时代的安全范式,经常是事后型的。
代码写完了,再做审计。系统上线了,再做扫描。漏洞披露了,再做修复。攻击发生了,再做响应。权限膨胀了,再做治理。告警爆炸了,再做降噪。
这种模式的问题并不只是效率低,而是安全始终落后于生产。开发、运维、业务和安全之间存在天然摩擦。安全越严格,业务越觉得慢;业务越快,安全越容易失控。
AI 时代真正值得追求的目标,是把安全从“外部检查者”变成“生产过程的一部分”。
这不是简单的 Shift Left,也不是把安全扫描工具提前到 CI/CD 里那么简单。更准确地说,这是一次安全生产方式的重建。
在新的模式里,AI 应该参与软件生命周期的每一个关键环节:
在需求阶段,AI 可以帮助识别潜在滥用场景、隐私风险、权限边界和合规约束。
在设计阶段,AI 可以辅助生成威胁模型,分析数据流、信任边界、身份关系、第三方依赖和关键攻击面。
在开发阶段,AI 可以实时解释不安全代码模式,生成更安全的替代实现,并把组织安全规范转化成开发者可理解的建议。
在测试阶段,AI 可以生成边界测试、异常输入、属性测试、回归用例和安全验证用例。
在发布阶段,AI 可以结合 SAST、DAST、SCA、IaC 扫描、容器扫描、SBOM、策略引擎和变更上下文,判断风险是否可以接受。
在运行阶段,AI 可以理解日志、流量、身份、配置和业务状态,把碎片化告警转化为可行动的安全判断。
在修复阶段,AI 可以生成补丁、解释影响、提交 PR、补充测试、验证回归,并把知识沉淀到工程规范中。
NIST 的 Secure Software Development Framework 早已强调,安全软件开发实践应该被集成进每个 SDLC 实现中,用来减少发布软件中的漏洞、降低未发现漏洞被利用的影响,并处理漏洞产生的根因。AI 的意义,是让这类框架从“流程要求”进一步变成“可自动执行、可持续反馈、可规模化落地的工程系统”。
因此,AI 时代的安全不应该只问:“模型能不能帮我发现更多漏洞?”
更应该问:
模型能不能让漏洞更少产生? 模型能不能让修复成本更低? 模型能不能让每一次变更都自动接受安全验证? 模型能不能让安全规范变成默认工程路径? 模型能不能让组织从被动响应转向主动预防?
这才是 AI 时代网络安全的核心机会。
三、新时代的安全对象:从软件系统到 AI Agent 系统
AI 不只是安全工具,它本身也会成为新的安全对象。
过去,我们主要保护的是应用、主机、网络、云环境、身份系统和数据系统。现在,企业正在把 AI Agent 接入代码仓库、CI/CD、工单系统、邮件、知识库、云控制台、安全设备、日志平台、数据库和生产环境。
这意味着一个新的问题出现了:当 AI 不只是回答问题,而是可以调用工具、读取数据、修改配置、提交代码、创建工单、触发部署、隔离资产时,它就不再只是模型,而是具有行动能力的系统。
这类系统的安全风险,不能完全用传统漏洞模型解释。
它可能遭遇提示注入。它可能误信不可信上下文。它可能把模型输出直接传给下游系统。它可能调用权限过大的插件或工具。它可能在目标不清晰时发生任务漂移。它可能在多轮任务中逐步扩大影响面。它可能把本不该暴露的数据带入提示词或输出中。
OWASP 的大语言模型应用安全风险中,已经把提示注入、不安全输出处理、训练数据投毒、模型拒绝服务、供应链风险、敏感信息泄露和不安全插件设计等列为关键问题。这些风险说明,AI 系统的安全不仅是“模型会不会回答危险内容”,更是“模型被接入真实工具链之后,会不会形成危险行动链”。
因此,新时代的网络安全人员必须理解一个新的边界问题:AI 的能力边界和 AI 的执行边界不是同一件事。
能力边界关注模型能不能做某件事。执行边界关注模型被允许做什么、在什么条件下做、做到什么程度、失败后如何回滚、由谁负责审批。
一个模型能分析生产事故,不代表它应该直接修改生产配置。一个模型能生成修复补丁,不代表它应该自动合并到主干。一个模型能识别异常账号,不代表它应该无审批封禁所有关联身份。一个模型能发现漏洞,不代表它应该对真实外部目标执行利用验证。
AI 安全的关键不只是“增强能力”,而是驯服能力。
四、AI 执行任务的边界:按影响面、可逆性和验证强度划分
未来的安全自动化不能简单分成“人工执行”和“AI 执行”。更合理的方式,是按照任务的影响面、可逆性、授权范围和验证强度划分自动化等级。
第一类是低风险、可逆、局部影响的任务,可以高度自动化。
例如日志摘要、告警聚类、威胁情报归纳、代码安全建议、依赖风险排序、测试用例生成、补丁草案、规则解释、工单整理。这类任务即使出错,也通常不会直接破坏生产系统,可以让 AI 承担更多执行工作。
第二类是中风险任务,应该采用“AI 提议,人类确认”。
例如修改检测规则、调整安全组、封禁低权限账号、回滚非核心服务、生成生产补丁、更新访问策略。这类任务有实际影响,但可以通过审批、审计、回滚和灰度机制控制风险。
第三类是高风险任务,必须保留强审批、强审计和强回滚。
例如生产环境变更、核心权限调整、跨系统数据访问、大范围隔离、自动化响应策略更新、涉及客户数据的操作。这类任务可以让 AI 做分析、建议和验证,但不能让 AI 无约束执行。
第四类是不可授权任务,必须直接禁止。
例如未经授权的真实目标利用、规避检测、持久化植入、数据外传、破坏性操作、针对第三方系统的攻击链执行。这些不是“能力不足时不能做”,而是“即使能力足够也不应该做”。
NIST AI Risk Management Framework 把 AI 风险管理组织为 govern、map、measure、manage 四类核心功能,并强调风险管理应贯穿 AI 系统生命周期。这种框架对安全团队的启发是:AI Agent 的风险不能只靠上线前测试解决,而要靠持续治理、持续度量、持续监控和持续调整。
真正成熟的 AI 安全体系,不是让 AI 什么都不能做,也不是让 AI 什么都自动做,而是让 AI 在明确边界内高效行动。
五、新一代网络安全人员:不是旧时代的自动化使用者,而是新时代的系统设计者
AI 时代对安全人员提出了新的要求。
传统安全人员的核心能力,往往是理解漏洞原理、攻击路径、防御机制、日志证据、工具使用和应急流程。这些能力仍然重要,但已经不够。
新一代安全人员还必须理解 AI 如何改变任务执行方式。
他们需要知道模型擅长什么、不擅长什么;需要理解上下文工程、工具调用、权限设计、数据边界、评测方法、失败模式和人机协作;需要能判断哪些安全任务适合自动化,哪些任务必须保留人工审批;需要能把安全知识转化为 AI 可执行的流程、策略和验证机制。
这意味着未来高价值的安全角色会发生变化。
AI-native AppSec 架构师,会把安全要求嵌入开发工具链,让 AI 在需求、设计、编码、测试和发布前持续发挥作用。
Agent Security Engineer,会设计 AI Agent 的权限、工具调用、沙箱、审计、回滚和审批机制,确保 Agent 能工作但不能越权。
AI Red Team / Blue Team 工程师,不会只测试模型是否越狱,而会测试模型接入真实业务系统后是否会形成危险行动链。
自动化修复工程师,会让 AI 不只是报告问题,而是生成补丁、验证补丁、解释影响、提交 PR、完成回归测试。
安全治理工程师,会把 AI 的不确定性转化为组织可接受、可度量、可审计的风险边界。
前沿模型的网络安全能力正在上升。英国 AI Security Institute 在 2026 年 4 月发布的评估中称,Claude Mythos Preview 在 CTF 和多步骤网络攻击模拟中表现出显著进步,并在受控环境中完成了部分复杂攻击链任务。这类评估并不意味着现实世界的攻击已经可以被模型完全自动化替代,但它清楚表明,AI 在网络安全任务中的能力边界正在持续外扩。
正因如此,新一代安全人员不能只做旧时代的收割者。
如果一个安全人员只是用 AI 更快地跑扫描、更快地写报告、更快地提交漏洞,那么他只是把旧工作加速了。如果一个安全人员能够用 AI 重构安全流程、压缩修复链路、定义执行边界、降低系统性风险,那么他才真正进入了新时代。
六、安全不会消失,但安全工作的价值会重新分布
AI 不会让网络安全消失。
只要软件存在,漏洞就会存在。只要系统连接,攻击面就会存在。只要身份、权限、数据和利益存在,对抗就会存在。只要 AI Agent 被接入现实工具链,新的安全边界就会不断出现。
但 AI 会改变安全工作的价值分布。
过去,很多价值集中在“发现问题”。未来,更多价值会转移到“预防问题、修复问题、验证修复、控制执行、治理风险”。
过去,安全人员经常以“专家审计者”的身份出现。未来,安全人员更像“安全生产系统的设计者”。
过去,安全能力依赖个人经验、工具栈和手工流程。未来,安全能力会越来越依赖 AI 工作流、自动化闭环、组织策略和工程化治理。
这并不意味着传统漏洞能力不重要。恰恰相反,真正理解漏洞的人,才能更好地设计 AI 安全系统。真正理解攻防的人,才能判断 AI 自动化的边界。真正理解工程的人,才能把安全从理念变成默认路径。
但方向必须改变。
AI 时代的机会,不在于用新工具重复旧时代的成功路径,而在于理解旧路径为什么会被重构。
结语:不要做旧时代的收割者,要做新时代的建设者
在 AI 时代,网络安全真正的机会不是“AI 帮我挖更多漏洞”,而是“AI 帮我们重新设计安全生产方式”。
用 AI 挖传统漏洞,会有短期收益。用 AI 推动安全前移,会形成长期优势。用 AI 自动生成报告,是效率提升。用 AI 建立修复闭环,是范式改变。用 AI 做攻击模拟,是能力展示。用 AI 定义执行边界,是安全治理。
新旧时代交替时,最容易出现两类人。
一类人把 AI 当成更快的旧工具,用它收割旧时代最后的红利。另一类人把 AI 当成新的生产力基础,用它重建安全体系。
前者可能会赢得一段时间的窗口期。后者才会赢得下一个时代。
网络安全永远会存在,但网络安全人员的价值会被重新定义。未来真正重要的,不只是知道如何发现漏洞,而是知道如何让漏洞更少出现;不只是知道如何利用 AI 执行任务,而是知道如何定义 AI 执行任务的边界;不只是会使用 AI,而是能以 AI 解放生产力为前置条件,重新思考安全本身。
AI 时代的网络安全,不应停留在用新工具收割旧漏洞。真正的机会,是重建软件、系统与智能体的安全生产方式。