夜雨聆风
过去一年,企业谈 AI,更多谈的是效率、降本、自动化、智能客服、代码生成和业务赋能。
但在网络安全领域,AI 带来的变化远不止“提高办公效率”这么简单。
从大模型辅助代码审计,到自动发现漏洞;从逆向工程分析,到攻击路径推演;从模拟渗透测试,到横向移动决策,AI 正在加速进入网络攻防的核心环节。
这意味着一个非常现实的问题:
攻击者并没有发明全新的攻击方式,但 AI 正在让传统攻击变得更快、更便宜、更自动化。
对于企业而言,未来真正的挑战不是“有没有 AI 攻击”,而是当攻击者借助 AI 把漏洞发现、攻击链组合、权限提升、横向渗透和勒索投放的速度大幅提升之后,企业原有的安全治理体系是否还能跟得上。
一、AI 没有改变攻击本质,但显著改变了攻击速度
传统网络攻击通常包括几个典型环节:
资产探测、漏洞发现、漏洞利用、权限获取、横向移动、数据窃取、持久化控制、勒索或破坏。
这些环节本身并不新。
过去,完成这些工作需要较强的安全经验、工具能力和人工判断。攻击者需要花时间分析系统、阅读代码、测试漏洞、组合利用路径。
但 AI 介入之后,情况开始发生变化。
大模型已经可以辅助完成代码漏洞分析、闭源软件逆向分析、安全缺陷识别、攻击路径推演,甚至可以在模拟企业网络环境中尝试完成横向渗透任务。
这背后的本质变化是:
AI 把原本依赖专家经验的攻击过程,部分转化成了可自动化、可复制、可规模化的流程。
过去,一个安全专家可能需要数小时甚至更长时间完成的漏洞分析任务,未来可能由 AI 在更短时间内给出初步判断。过去需要人工反复尝试的攻击路径,AI 可以根据上下文快速组合多个弱点,形成更具威胁的攻击链。
因此,企业安全负责人不能再简单认为:
“我们没有高危漏洞,所以风险不大。”
在 AI 加持下,多个中危漏洞、错误配置、弱权限、暴露接口、过期系统、泄露密钥,完全可能被组合成一条高风险攻击路径。
二、漏洞治理不能只看“高危”,还要看攻击链
很多企业做漏洞管理时,习惯按照漏洞等级排序:
高危优先,中危其次,低危最后。
这种做法在传统漏洞管理中有一定合理性,但在 AI 时代会出现明显不足。
因为 AI 更擅长的一件事,是把分散的信息组合起来。
一个中危漏洞本身可能无法造成严重后果,但如果它能让攻击者获得低权限入口,再结合另一个配置错误、一个弱口令、一个未隔离的内网访问路径,就可能进一步提权、横向移动,最终触达核心数据库或生产系统。
也就是说,企业需要从“单点漏洞视角”,转向“攻击路径视角”。
未来漏洞优先级排序,至少要同时考虑以下因素:
漏洞是否暴露在互联网;
漏洞所在资产是否属于核心业务系统;
漏洞是否已有公开利用代码;
漏洞是否可远程利用;
漏洞是否能与其他漏洞形成攻击链;
漏洞是否涉及身份认证、权限提升、远程执行、敏感数据访问;
漏洞所在系统是否连接数据库、域控、云平台、生产环境或重要接口。
对企业来说,最危险的往往不是某一个孤立漏洞,而是一组看似普通的问题被串联起来之后形成的完整攻击路径。
因此,AI 时代的漏洞治理,不能只问:
“这个漏洞严重吗?”
还要问:
“这个漏洞能不能成为攻击链上的一环?”
三、外部暴露面清单,是 AI 时代的第一项安全基础工作
攻击者要进入企业,最直接的入口通常仍然是互联网暴露面。
包括公网 IP、域名、子域名、开放端口、Web 系统、VPN、远程运维入口、对象存储、云主机、测试环境、API 接口、SaaS 管理后台等。
现实中,很多企业并不真正清楚自己暴露在互联网上的资产有哪些。
有些系统是业务部门自行上线的;
有些云资源是项目团队临时申请的;
有些测试环境上线后没有下线;
有些域名和子域名早已无人维护;
有些端口和接口长期暴露;
有些系统 IT 部门甚至完全不知道。
这类资产通常被称为“影子 IT”或“未知暴露面”。
过去,攻击者发现这些资产需要一定时间。现在,AI 可以辅助攻击者更快地归纳、分析和判断这些资产的攻击价值。
所以,对企业而言,第一步不是买更多安全产品,而是先回答一个最基础的问题:
我们到底有哪些资产暴露在互联网上?
企业应当建立并持续维护外部暴露面清单,至少覆盖:
公网 IP;
域名和子域名;
公网开放端口;
互联网 Web 应用;
云主机和云服务;
API 接口;
远程访问入口;
测试系统和临时系统;
对象存储桶;
第三方 SaaS 入口;
证书、备案和责任人信息;
系统所属部门、业务用途和下线计划。
没有暴露面清单,后续的漏洞扫描、渗透测试、安全加固和应急响应都会缺乏基础。
在 AI 时代,资产不清,就是风险不清;入口不清,就是攻击面不清。
四、AI Token、API Key 和云密钥,正在成为新的高价值资产
随着企业大量使用 AI 应用、模型 API、智能体工具和云服务,新的安全资产正在出现。
过去,企业重点保护的是账号、密码、证书、数据库连接串、VPN 凭证。
现在,还必须重点关注:
AI API Key;
模型调用 Token;
云平台 Access Key;
自动化脚本密钥;
Agent 工具调用凭证;
第三方平台集成密钥;
代码仓库中的配置密钥;
员工个人 AI 工具中的企业数据访问凭证。
这些密钥一旦泄露,攻击者可能直接调用企业购买的 AI 服务,访问内部接口,消耗模型额度,窃取数据,甚至借助自动化工具进入企业环境。
更严重的是,很多企业目前并没有把 AI Token 和 API Key 纳入正式的信息资产管理。
常见问题包括:
不知道企业内部有多少 AI Key;
不知道 Key 由谁申请、谁使用、谁负责;
Key 长期有效,从不轮换;
Key 权限过大;
Key 写入代码仓库或配置文件;
离职人员、外包人员、供应商仍然持有调用权限;
缺少调用日志;
没有额度限制;
出现异常调用后无法快速停用。
因此,企业应当将 AI Token、API Key 和云密钥作为高价值资产进行管理。
至少要做到:
统一登记;
明确责任人;
设置最小权限;
限制调用范围;
设置有效期;
定期轮换;
禁止硬编码;
接入密钥泄露扫描;
监控调用日志;
设置异常调用告警;
建立泄露后的应急处置流程。
一句话:
AI Token 不是普通配置项,而是新的安全边界。
五、AI Agent 不能直接继承人的全部权限
AI Agent 是企业未来几年一定会大量使用的技术形态。
它可以帮助员工写代码、查资料、处理文档、调用系统、生成报告、执行流程、连接业务系统。
但这里有一个很关键的安全问题:
当一个 AI Agent 代表员工执行操作时,它到底应该拥有多大权限?
很多企业容易犯的错误是:
员工有什么权限,AI Agent 就默认继承什么权限。
这在安全上非常危险。
因为人和 AI Agent 的行为模式不同。
人通常知道业务边界、组织规则和上下文责任;而 AI Agent 可能会因为提示词错误、工具调用异常、上下文误解、外部诱导、权限配置不当,执行超出预期的操作。
因此,AI Agent 的身份和人的身份应当分离。
企业需要逐步建立 AI Agent 身份治理机制:
Agent 应有独立账号或独立标识;
Agent 不应直接共用员工个人账号;
Agent 权限应按任务最小化配置;
Agent 访问敏感数据应经过审批;
Agent 高风险操作应设置人工确认;
Agent 调用外部接口应记录日志;
Agent 操作结果应可追溯;
Agent 异常行为应可暂停、隔离和回滚;
项目结束、人员离职、供应商退出时,应同步回收 Agent 权限。
未来,身份安全不只包括“人”的身份,也包括“机器身份”“应用身份”“Agent 身份”。
企业必须能够回答:
这个操作是谁发起的?
是人,还是 AI?
它调用了什么数据?
执行了什么动作?
有没有超出授权范围?
是否可以审计和追责?
如果这些问题回答不了,AI Agent 就会从效率工具变成新的安全盲区。
六、被攻破并不可怕,全面失控才可怕
在现实安全管理中,没有任何企业可以承诺自己永远不会被攻击成功。
真正成熟的安全体系,不是幻想“绝对不被攻破”,而是确保即使局部失守,也不会全局失控。
这就涉及微隔离、分区分域、横向移动防护和核心资产保护。
AI 提升攻击速度后,横向移动会变得更危险。
攻击者一旦拿下某台服务器或某个普通账号,可能迅速分析网络结构、寻找可访问路径、识别高价值系统,并尝试进一步扩大战果。
因此,企业需要做到:
办公网、研发网、生产网、测试网分离;
核心数据库不允许被普通终端直接访问;
服务器之间访问遵循最小必要原则;
域控、堡垒机、备份系统单独保护;
高权限账号严格管控;
远程运维必须经过统一入口;
关键系统访问需要多因素认证;
勒索病毒传播路径要能被阻断;
核心资产要有隔离策略和应急预案。
企业要建立一个基本安全目标:
即使某个点被攻破,也要把影响限制在局部,不能让攻击者一路横向移动到核心系统。
这也是 AI 时代安全架构的重要变化。
过去企业更关注边界防护,未来必须更加关注内部控制、横向移动阻断和核心资产隔离。
七、中小企业和安全基础薄弱企业,可能最先受到冲击
很多人认为,AI 攻击首先影响的是大型企业。
但实际上,第一波受到明显冲击的,可能是安全基础薄弱的中小企业。
原因很简单:
大型企业通常已经具备一定的安全投入,包括资产管理、漏洞扫描、终端防护、网络隔离、日志监控、安全运营和应急响应能力。
虽然它们仍然面临高风险,但至少有一定防御基础。
而很多中小企业的问题是:
资产不清;
漏洞不补;
账号混用;
弱口令普遍;
没有终端防护;
没有日志留存;
没有备份演练;
没有应急预案;
员工随意使用 AI 工具处理公司数据;
外包和供应商权限长期不回收;
云平台配置无人审查。
在 AI 降低攻击门槛之后,攻击者可以更低成本地扫描、分析和利用这些薄弱目标。
所以,中小企业不一定需要一开始就建设复杂的安全体系,但至少要把基础安全能力补齐。
最基本的安全底线包括:
知道自己的资产在哪里;
知道哪些系统暴露在互联网;
及时修复关键漏洞;
关闭不必要端口;
启用多因素认证;
管住管理员账号;
做好重要数据备份;
保留关键日志;
规范员工使用 AI 工具;
建立最简单的安全事件上报和处置流程。
AI 时代,安全基础越薄弱,越容易成为自动化攻击的目标。
八、企业安全治理要从“工具堆叠”走向“体系联动”
面对 AI 带来的安全挑战,很多企业的第一反应是继续买工具。
买扫描器、买防火墙、买 EDR、买 WAF、买态势感知、买数据安全产品、买云安全产品。
工具当然重要,但只堆工具并不能解决问题。
很多企业真正的问题是:
设备很多,但资产不清;
告警很多,但没人分析;
日志很多,但没有关联;
系统很多,但责任不清;
制度很多,但没有执行;
演练很多,但不贴近真实场景。
AI 时代的安全治理,更需要平台化、体系化和联动化。
企业应当逐步建立统一的安全运营机制:
资产统一纳管;
漏洞统一跟踪;
告警统一分级;
日志统一分析;
事件统一处置;
账号统一治理;
云资源统一审查;
AI 工具统一登记;
供应商统一管理;
整改统一闭环。
安全不应是一个个孤立工具,而应是一套能够持续发现问题、判断风险、推动整改、验证效果的管理体系。
这也是 ISO 27001、ISO 42001、TISAX、数据安全治理等体系建设的真正价值所在。
它们不是为了写文件,而是帮助企业建立可持续运行的安全管理机制。
九、企业现在应该优先做什么?
面对 AI 时代的网络安全变化,企业可以先从六件事做起。
第一,建立互联网暴露面清单。
先弄清楚企业有哪些系统、接口、域名、IP、端口、云资源暴露在外部。
第二,重排漏洞修复优先级。
不要只看漏洞等级,还要结合资产重要性、暴露面、利用可能性和攻击链关系。
第三,加强 AI Token 和 API Key 管理。
把 AI Key、云密钥、模型调用凭证纳入正式资产管理,做到登记、授权、轮换、监控和回收。
第四,建立 AI Agent 权限边界。
AI Agent 不能默认继承人的全部权限,应独立标识、最小授权、全程留痕、高风险操作人工确认。
第五,提升横向移动防护能力。
通过分区分域、微隔离、最小访问、核心资产保护,避免局部失守演变为全网失控。
第六,完善安全运营和应急响应。
安全设备和日志不能只“看得到”,还要有人分析、有人处置、有人复盘、有人推动整改。
这些工作不一定都要一步到位,但必须开始纳入企业安全治理路线图。
十、结语:AI 时代,安全治理要重新提速
AI 正在让企业变得更高效,也正在让攻击者变得更高效。
过去,企业安全治理可以慢慢补、逐步改、按年度计划推进。
但在 AI 时代,攻击者发现漏洞、组合路径、生成攻击脚本、实施横向移动的速度都在加快。
企业如果仍然停留在传统的安全节奏里,就会出现一个越来越明显的落差:
攻击在提速,防御却没有提速。
这才是 AI 时代真正值得警惕的地方。
未来企业的安全建设,不仅要关注传统网络安全,也要关注 AI 使用过程中的新风险:
AI 工具是否可控;
AI Agent 是否越权;
AI Token 是否泄露;
AI 生成代码是否安全;
员工是否把敏感信息输入外部模型;
模型 API 调用是否留痕;
AI 自动化操作是否有人复核;
安全事件发生后是否能够追溯。
AI 时代的企业安全,不是单纯增加一个“AI 安全制度”,而是要把 AI 带来的新型身份、新型资产、新型操作方式、新型攻击效率,纳入整体安全治理体系。
对企业来说,真正重要的不是恐惧 AI 攻击,而是尽快完成安全治理能力升级。
因为未来的网络安全竞争,很可能不再是“人和人”的对抗,而是:
使用 AI 的攻击者,与具备 AI 时代安全治理能力的企业之间的对抗。
