夜雨聆风
先定义一下「脚本小子」这个群体。
在网络安全圈子里,这个词带有明显的贬义~
指的是:不具备深厚技术功底,靠下载别人写好的工具、复制别人的脚本,对目标进行低水平攻击的人。
一个典型的脚本小子日常是这样的:
早上10点打开电脑,先去 GitHub 上搜一把最新的漏洞利用脚本。然后打开 YouTube 看一段"10分钟学会用 sqlmap 脱库"的视频。吃完午饭,把找到的脚本往目标站点上一跑,如果能跑通,就算"渗透测试"完成了。跑不通?换下一个目标,继续复制粘贴。
1
他们的武器库里,东西不少
但问题是:他们不知道这些工具为什么能工作。
qlmap 跑起来了,但为什么这个站有注入、那个站没有?不知道。Burp Suite 拦截到了请求,但请求里的每个字段是什么意思?说不上来。Metasploit 的 exploit 模块打进去了,但漏洞的原理是什么?不清楚。
这种攻击者,在专业安全圈里,就是典型的「脚本小子」。
2023年下半年之前,脚本小子能做的事,天花板是很明显的。
因为没有编程功底,他们没法自己写利用代码。因为不懂底层原理,他们只能靠工具作者预设好的攻击路径。一旦目标做了针对性的防护,或者工具报错,脚本小子就只能放弃。
但 AI 出现之后,情况变了。
1
变化一:代码生成能力让脚本小子"会编程"了
以前,脚本小子遇到工具不支持的场景,基本就束手无策了。现在不一样了。
一个脚本小子可以在 智能里面 或者 AI对话里输入:
"帮我写一个 Python 脚本,用来检测某个 URL 是否存在 SSRF 漏洞,需要支持 DNS 带外检测。"
几秒钟后,一段完整的、有注释的 Python 代码就出来了。脚本小子直接复制,改改参数,跑起来。
他们还是不懂代码,但 AI 让他们"看起来"懂了。
Exabeam 在 2025 年 4 月的一份报告中描述了一个真实案例:某欧洲黑客组织利用 AI 生成恶意代码,植入远程访问工具(RAT)。安全研究员在分析这些代码时发现了一个诡异的特点——代码注释异常完整、结构异常清晰,这反而成了识别 AI 生成恶意代码的异常特征。
1
变化二:攻击门槛的"地板"被砸穿了
我们来看一组数据。
根据 Fortinet 2025 年网络安全技能缺口报告
AI 工具的出现,让企业「廉价」弥补安全能力缺口成为可能。同样的逻辑也适用于攻击侧——原本需要技术积累才能实施的攻击,现在一个懂用 AI 的高中生就能干。
2025 年 6 月,一个标志性事件发生了。
2025 年第二季度,一个名叫 XBOW 的 AI 渗透测试工具,在 HackerOne(全球最大的漏洞众测平台)美国排行榜上,超越了 99 名人类安全研究员,登顶第一。
这是 AI 在网络安全领域第一次实质性地击败人类。
XBOW 的核心数据
XBOW 发现的典型漏洞
Palo Alto GlobalProtect VPN 的未知漏洞,影响超过 2,000 台主机
远程代码执行(RCE)
SQL 注入
跨站脚本攻击(XSS)
服务器端请求伪造(SSRF)
信息泄露
已确认修复漏洞的企业
企业
迪士尼(Disney)
AT&T
福特(Ford)
Epic Games
XBOW 的工作原理是"黑盒测试"——不需要访问目标系统的源代码,只需要模拟一个真实攻击者的行为,从外部进行探测和利用。
根据 FreeBuf 对 XBOW 的专访,这款 AI 工具的核心能力是:自主决策。
传统自动化扫描器按照预设规则跑一遍,发现什么算什么。XBOW 不一样,它在测试过程中会根据前面步骤的反馈,自主决定下一步该测什么、怎么测。
这种能力,已经不是"自动化脚本"了,而是具备一定推理能力的攻击智能体。
现在来回答标题的问题:AI 会淘汰脚本小子吗?
我的答案是:会,但淘汰的方式比你想的更复杂。
4.1
AI 正在替代脚本小子的"工具搬运"价值
脚本小子最核心的竞争力是什么?是知道哪个工具能干什么。
比如,遇到一个登录框,脚本小子知道要用 Hydra 做暴力破解。遇到一个 Web 表单,脚本小子知道要用 sqlmap 测注入。遇到一台开放了 445 端口的 Windows 机器,脚本小子知道要用 Metasploit 的 exploit/windows/smb/ms17_010_eternalblue 模块。
这种"工具知识"的护城河,正在被 AI 填平。
现在,一个完全不懂安全的人,只需要用自然语言描述:
"我要测试这个目标登录页面是否存在暴力破解漏洞,请提供完整的测试方案。"
AI 会告诉他:
用什么工具(Hydra / Burp Intruder / 自写脚本)
具体命令怎么写
如何判断结果
如果被 WAF 拦截怎么绕过
脚本小子原来靠"信息差"维持的价值,被 AI 抹平了。
4.2
AI 让"脚本小子"升级成了"AI 小子",
但这批人也危险了
这是更有意思的一个现象。
原来只会复制粘贴的脚本小子,借助 AI 之后,突然能做一些以前做不到的事情了:
让 AI 帮自己写定制化的漏洞利用代码
让 AI 分析目标网站的 JS 代码,找出隐藏的接口
让 AI 生成看起来很专业的钓鱼邮件
这类人,可以叫他们"AI 小子"(AI Kiddie)。
但问题在于:"AI 小子"对 AI 的依赖,和当年脚本小子对工具脚本的依赖,本质上是一样的。
他们仍然不理解攻击原理,仍然不会自己写代码,仍然只能靠 AI 的输出结果来行动。一旦 AI 给出的答案不对,或者目标环境超出了 AI 训练数据的覆盖范围,"AI 小子"同样束手无策。
当 AI 的能力进一步提升,连"让 AI 生成攻击代码"这个动作都可以被更聪明的 AI 自动化的时候,"AI 小子"也会失业。
4.3
真正的安全研究员,反而更值钱了
每次技术革命,都会经历这样一个过程:
低技能岗位被自动化工具替代
中等技能人群通过新工具获得"升级"
高技能人群的价值被进一步放大
网络安全行业正在经历这个过程。
光说概念太抽象,我们来看一些硬数据。
DARPA AIxCC 竞赛数据(2025 年)
Claude Mythos 模型(Anthropic,2025 年)
Anthropic 发布的 Claude Mythos 模型,在真实代码库中发现零日漏洞的能力:
在 DARPA AIxCC 竞赛中,扫描了数百万行代码
Xint 工具(另一个参赛 AI 系统)比 Claude Mythos 多发现了 12 个零日漏洞
这说明:不同 AI 模型之间的能力差异,可能比"AI vs 人类"的差异还要大
AI 生成恶意代码的异常特征(安全检测新挑战)
根据 Exabeam 的报告,AI 生成的恶意代码有一个很诡异的特点:
代码质量过高,反而成了异常信号。
正常的人类黑客写的恶意代码,通常:
变量名随意(避免暴露身份信息)
几乎没有注释(怕暴露写作习惯)
代码结构紧凑,追求功能而非可读性
而 AI 生成的恶意代码:
变量名规范、语义清晰
注释完整(这是最大的异常信号)
代码结构清晰,遵循最佳实践
安全检测系统现在面临一个新挑战:如何用行为分析识别 AI 生成的恶意代码?
文章写到这里,你可能会有一个印象:AI 对攻击者的帮助更大。
这个印象,只对了一半。
防御侧也在用 AI 做同样的事
误报率的改善(防御效率的关键)
传统 SAST 工具的误报率:90%-99%
AI 驱动的 SAST 工具:
误报率从 99% 降到 2%,意味着安全工程师终于不用在海量误报里"淘金"了。
如果你是一名脚本小子(或者正在朝这个方向走),这篇文章可能让你不舒服。但数据不会骗人。
AI 会淘汰一大批只会复制粘贴的低水平攻击者。这是必然趋势。
但淘汰不代表没有出路。脚本小子要存活,有几条路可以走:
7.1
路线一:真正学会编程和底层原理
这是最根本的出路。
AI 可以帮你写代码,但AI 不能替代你理解代码。
如果你能:
读懂 AI 生成的每一行代码,知道为什么这样写
当 AI 给出的答案不对时,你能自己调试和修改
理解漏洞的底层原理(内存布局、处理器指令集、网络协议……)
那你就不再是脚本小子,而是真正的安全研究员了。
7.2
路线二:专注业务逻辑漏洞
这是目前 AI 最不擅长的领域。
AI 擅长的是:已知漏洞模式的识别和利用。
AI 不擅长的是:需要理解业务逻辑才能发现的漏洞。
举个例子:
一个电商 API,正常流程是:下单 → 支付 → 发货。 但如果攻击者精心构造请求顺序:下单 → 取消订单触发退款 → 但发货流程已经被触发 → 最终"又拿到退款又收到货"。
这种漏洞,技术上没有任何异常,系统功能完全正常工作,问题出在业务流程的设计缺陷上。AI 目前很难独立发现这类问题。
7.3
路线三:成为"AI 安全工程师"
这是个新兴方向。
未来的安全工程师,核心竞争力不是"我会用多少种工具",而是:
我能指挥 AI 完成多复杂的任务
我能判断 AI 给出的答案对不对
我能把 AI 的能力整合进安全工程流水线
这其实要求更高了,而不是更低。
2025 年 6 月,XBOW 登顶 HackerOne 的那一天,有人把这个事件称为**"AI 攻破人类防火墙的第一枪"**。
这个说法有点夸张,但不无道理。
脚本小子的黄昏,已经开始了。
那些只会复制粘贴、不懂原理、依赖信息差生存的低水平攻击者,会被 AI 工具一层层地替代掉。就像当年的纺织工人被蒸汽机替代、电话接线员被自动交换机替代一样,这是技术进步的必然。
但安全行业不会消失。
真正懂原理、能思考、能创新的安全研究员,会变得更值钱。
因为 AI 再聪明,它也是人类设计的。漏洞的本质是人类在写代码时犯的错误,而理解"人为什么会犯这种错误",需要的是同理心、创造力和对系统的深层理解——这些,至少在目前,还是人类的专属领域。
参考资料:Exabeam《The Rise of Script Kiddies in an AI World》
