夜雨聆风距离上一篇技术分享已经过去很久,先跟大家说声抱歉。这段日子琐事缠身,确实一直没能抽出时间更新。
今年可以说是 AI 能力大幅提升的一年。起初我一直在思考:AI 是不是已经“杀死比赛”了?如果不计 Token 和算力成本,AI 是不是已经进化到让我们不用再学习基础知识,就能拥有堪比一线红队的能力?在深度使用和开发 AI 一段时间之后,我得到了一个清晰的答案。
AI 在资本的推动下,集中社会资源高速进步,确实夸张,但它还没有杀死比赛。各种 AI 培训班吹嘘的“小白学点提示词就能取代各行各业”,在现实中并没有发生。在真实场景里,我们会碰到各式各样的问题。纯小白只能无条件相信 AI,可一旦方向走偏,如果我们没有扎实的基础知识去纠正,要么只能放任算力被大量消耗,让 AI 兜兜转转最后可能走到正确路径上;要么 AI 会陷在错误的思路里不断死循环,造成巨大的时间浪费。我们用 AI,本来就是为了提效,却因为缺乏专业知识反而浪费时间,这真的很可惜。
但 AI 确实带来了便利。这段时间,我也借助 AI 打了几次攻防,它大幅缩短了我在内网横向移动中的时间。以前经常遇到这样的情况:发现漏洞后,得到处找工具来连接、利用,才能进一步渗透;现在 AI 直接帮我写好利用脚本,是真的方便又高效。
总结下来:基础依然要继续加强,我们仍然要持续学习,把 AI 当成安全工作中的一环,而不是让它完全接管比赛。近期,我会把我是如何将 AI 融入攻击手段,以及在信息收集时发现那些边缘、影子资产后,如何利用 AI 进行渗透的真实案例,更新到知识库里。这段时间,谢谢大家的支持。
