夜雨聆风网络安全 · 职业洞察
AI时代,网络安全人
凭什么不被替代?
当算法接管了90%的常规告警
你的核心价值,藏在数据的盲区里
当AI能在几秒内分析完十万条日志,当SOAR平台能自动封堵90%的常规告警,你的价值,还剩什么?
2024年,某大型机构安全运营中心遭遇了一场奇怪的入侵。
所有自动化告警系统沉默如常,威胁情报平台显示"低风险",SIEM规则没有命中任何一条。
是老王,一个干了十五年的安全架构师,在深夜盯着流量图时,凭着一种说不清楚的"感觉"——叫停了一次定时任务的执行。
事后溯源,那是一次精心设计的供应链攻击,攻击者花了三个月把流量特征训练得和正常业务高度相似。
AI没发现。老王发现了。
这不是AI不够好。这是因为,有些威胁,生长在数据的盲区里。
美国经济学家弗兰克·奈特曾把未来的未知分为两种:
🔴 风险(Risk)
可以通过概率来计算的,历史数据充足,规律可循。AI很擅长,是AI的主场。
🔵 不确定性(Uncertainty)
没有足够历史数据参考,充满变数,无概率分布可查。这是人类的战场。
AI很擅长处理风险——海量告警分类、关联溯源、误报压制都是它的强项。
但网络安全最难的部分,恰恰不在这里:
⚡ 一个从未在野出现过的0day,如何研判影响范围?
⚡ 一次APT攻击在没有IOC的情况下,如何判断对手下一步?
⚡ 监管要求模糊的合规灰色地带,安全策略怎么拍板?
这些问题,没有概率分布表可以查。
第一条护城河:在信息不完备的情况下敢于判断,并用职业信誉去承担后果的能力。
有一类安全从业者,正在悄悄变得稀缺——不是那种"会用工具打靶场"的人,而是那种真正理解攻击者为什么这么干的人。
工具可以被AI代劳。Burp Suite的扫描、Nuclei的批量检测,甚至代码审计的初步筛查,AI都能做得越来越好。
但攻击者的心理模型,在特定业务场景下的优先级排序,在真实复杂环境里对手会从哪个方向、用什么节奏推进——这是一种对抗直觉,需要大量真实战场经验积累,短期内AI难以复现。
红队价值的核心,从来不是"能不能用工具getshell",而是能不能还原出真实攻击者的决策路径。这需要你理解业务逻辑,理解人性,理解组织内部的安全盲区——这些,不在任何漏洞数据库里。
有一个问题困扰了安全圈很多年:为什么安全部门的预算总是不够?为什么渗透测试报告被搁置在抽屉里没人管?
因为安全人说的话,业务听不懂。
"存在SQL注入漏洞,CVSS评分9.8"——对CTO有冲击感,对CEO约等于天书。
"这个漏洞一旦被利用,用户支付数据将面临泄露风险。按去年数据量估算,潜在监管罚款在XX万到XX万之间,同时会触发我们与XX客户的合同违约条款。"
这才是让老板掏钱的句式。
安全人的职业天花板,越来越取决于你能在多大范围内建立共识。技术是底层,沟通才是杠杆。
AI时代,攻击工具的扩散速度快了一个数量级。一个去年还需要APT组织才能完成的攻击链,今天借助AI辅助,普通攻击者也能拼凑出来。
攻击面在扩大,攻击门槛在降低,防御者的时间窗口在收窄。
在这种节奏下,学习能力本身就是一种安全能力——不是"每年考一个证"的那种学习,而是:
⚡ 不断更新自己对威胁格局的认知地图
⚡ 快速吸收新技术范式(AI安全、大模型攻防、供应链安全……)
⚡ 在不熟悉的领域快速建立"够用的判断框架"
AI可以给你信息,但不能替你建立认知体系。
AI时代安全人的四项关键能力
🧭
不确定性判断力
在数据盲区敢于决断,以职业信誉承担后果
⚔️
攻击者思维
还原攻击者决策路径,发现工具看不见的威胁
🌐
跨域沟通能力
把技术风险转化为业务语言,推动真实改变
🚀
高速学习能力
认知更新速度跟上威胁演进,元认知驱动成长
安全人的核心价值:不是执行,是决断
回到那个夜晚的老王。他不是因为会用什么工具才不可替代。他不可替代,是因为在数据沉默的时候,敢于相信自己的直觉,敢于叫停,敢于在事后承担自己判断的全部后果。
AI给了我们更强的工具,更快的计算,更低的执行门槛。但它同时也在重新定义一个问题:在这个行业里,什么叫"有价值的人"?
不是执行得最快的那个人,而是在最复杂、最模糊、最没有先例的时刻,能做出判断,并愿意对结果负责的那个人。
如果这篇文章对你有触动,欢迎转发给正在思考职业路径的安全同行。
我们不必对AI感到焦虑,但我们必须认真思考:
自己在成为哪种人。
