夜雨聆风一个月前,Anthropic宣布了一个消息,整个安全圈集体沉默了。
他们做了一个叫Claude Mythos的新模型,在网络安全测试CyberGym上拿了83.1%的得分——作为对比,上一代Opus 4.6只有66.6%。研究人员让它和Opus 4.6同时攻击Firefox的一个已知漏洞:Opus反复尝试了几百次,成功触发漏洞2次,还仅仅是让程序崩溃。Mythos在同样条件下直接完成了181次完整漏洞利用,其中29次拿到了系统寄存器的完全控制权。
更让人不安的是,Mythos没有受过网络安全训练——漏洞利用能力是它自己学出来的。测试期间,它在号称全球最安全的操作系统之一OpenBSD中发现了一个隐藏了27年的漏洞。还顺带找到了上千个覆盖所有主流操作系统和浏览器的零日漏洞。Anthropic最终决定不公开发布Mythos,只通过Glasswing计划向12家核心合作伙伴开放。
同月,Google威胁情报组发布了另一份报告:史上第一个由AI独立发现并准备武器化的零日漏洞攻击被截获。攻击者用AI分析开源Web管理工具的源码,找出了一个可绕过双因素认证的逻辑漏洞。如果不是谷歌及时拦截,这场攻击预计将影响超过30万家企业和机构。
两个事件隔空呼应,信号很明确:AI挖洞已经不是论文里的实验,而是正在发生的真实攻防。
漏洞挖掘,过去靠的是人
在我讨论AI怎么改变这一切之前,有必要先说明白传统漏洞挖掘到底是怎么进行的。
传统挖洞主要靠三种人:安全研究员、渗透测试工程师、白帽黑客。他们会用自动化扫描器(SAST/DAST)做第一轮扫描,把明显的漏洞筛出来,然后靠经验和直觉深入挖掘复杂的逻辑缺陷。一个漏洞的完整生命周期包括:信息收集 → 漏洞分析 → PoC编写 → 利用验证 → 报告提交。每一步都需要人来做决策、做判断。
这种模式的效率可想而知。行业调研显示,78%的企业安全团队面临渗透测试资源不足的问题。单个目标的完整测试周期长达数周,一个顶尖白帽黑客找到一个高危零日漏洞可能要花上几个星期甚至几个月。
而现在,AI正在把这套旧模式从头到尾全部重写。
攻击侧:从“手工挖矿”到“自动化工厂”
AI在攻击侧的应用,本质上是在重构漏洞发现与武器化的成本结构。
维度一:漏洞挖掘全面自动化。
传统的模糊测试(Fuzzing)能自动发现一部分漏洞,但面对逻辑缺陷、复杂状态机bug这类需要“理解代码意图”的漏洞,基本无能为力。而大模型在理解代码意图和发现逻辑矛盾方面有天然优势——这也是安全研究者最担心的地方。
Google拦截的那个AI零日漏洞就是一个典型案例。漏洞本身是开发者在2FA系统中硬编码了一个信任假设,这种逻辑层面的bug,传统自动化扫描工具很难发现,但大模型敏锐地捕捉到了。
德克萨斯A&M大学团队提出的FuzzingBrain V2更进一步——这是一套多智能体LLM漏洞挖掘系统,在AIxCC 2025决赛数据集上达到了90%的检测率,并在真实部署中发现41个零日漏洞,其中26个已被维护者确认、23个已修复。它真正解决了“AI报漏洞但不可验证”这个长期困扰行业的核心痛点——所有被确认的漏洞都100%可复现。
维度二:漏洞武器化周期被压缩到5天。
Rapid7 2026年Q1报告揭示了一个结构性变化:漏洞利用以38%的占比首次超越钓鱼(24%),成为最主要的网络攻击初始入侵入口。更关键的变化在于时间窗口:高危漏洞从公开到被纳入已知可利用漏洞目录的中位时间,已从8.5天压缩至5天。
这意味着从漏洞披露到攻击者武器化利用,防御者只剩下不到一周的响应窗口。AI不仅加快了漏洞的发现速度,更大幅压缩了漏洞从被发现到被利用之间的时间窗口。
维度三:自动化渗透测试框架正在将攻击效率推向新高度。
APT-Agent是一个全自动LLM驱动的渗透测试框架,可以系统地执行信息侦察、漏洞利用和数据窃取。在Metasploitable 2测试环境中的端到端攻击成功率达到84.29%,而传统方法的Script Kiddie只有48.57%、PentestGPT只有18.57%。APT-Agent解决了LLM在渗透测试中的两个核心问题:对命令和技术细节的幻觉,以及在多步攻击序列中对上下文的“失忆”。
谋乐科技基于实战数据分析指出,黑客借助AI仅需30%的人工干预即可完成漏洞挖掘、数据窃取等全流程操作,前沿AI模型已能瞬间挖掘验证超500个零日漏洞。AI在攻击规模、迭代速度上的优势,已在实战中得分超出人类白帽黑客一倍。
防御侧:科技巨头的AI反击战
攻击侧在加速,防御侧也没闲着。科技巨头们正在用AI对抗AI。
微软MDASH——100个AI Agent组成的漏洞猎手。
2026年5月的Patch Tuesday,微软披露了一个内部AI安全系统MDASH的战绩:在Windows网络和认证栈中发现了16个漏洞,其中4个是Critical级别,包括TCP/IP栈和IKEv2服务中的远程未认证代码执行漏洞。MDASH系统调度了超过100个专门的AI Agent,采用辩论式架构:Auditor Agent标记可疑点,Debater Agent从正反两方面论证漏洞的可达性和可利用性,Prover Agent构造触发输入来确认真实存在。这种“辩论式验证”的策略,大幅降低了AI漏洞发现的误报率。
MDASH在微软安全响应中心的历史案例回顾中,重新发现了clfs.sys过去5年96%的已确认漏洞,以及tcpip.sys同期100%的已确认漏洞。它的核心设计哲学是:“架构本身才是武器,模型只是其中一个输入。”
Google Big Sleep——首个AI自主挖掘的零日漏洞。
2025年,Google Project Zero团队的AI智能体Big Sleep在SQLite数据库中成功发现并报告了首个AI自主挖掘的零日漏洞,标志着AI正式进入高危漏洞发现的主战场。这是AI从“辅助工具”到“独立安全研究员”的身份转变。
绿盟AI-PTS——企业级智能渗透系统。
绿盟推出的AI-PTS系统将爬虫技术与信息分析智能体深度融合,借助RAG技术融合外部漏洞知识库与当前目标上下文,有效探索云SSRF、路径遍历及模板逃逸等复杂场景,弥补了传统方法在API、云WAF及NoSQL注入等领域的盲区。Hexstrike-AI框架将专家系统与深度学习结合,保持低误报率(低于8%)的同时,将新型漏洞发现能力提升了40%。
白帽黑客的困境
AI在攻防两端同时加速,带来一个更深层的困境。
AI让漏洞发现的成本趋近于零。Anthropic意识到这个问题后,决定不公开Mythos,只向受信任的组织提供有限访问权限。Google和OpenAI也发布了面向防御者的专用安全模型。这是一种新的“安全特权”逻辑——不是所有人都能使用最强的安全AI。
但对于白帽黑客而言,情况更微妙。传统白帽挖漏洞的流程是:发现漏洞 → 负责任披露 → 等待厂商修复 → 获得认可。但现在AI能把漏洞发现的速度提到无限大——30天内就能在全球50多家核心软件中挖出上万个漏洞。漏洞修复的速度远远跟不上发现的速度。
“AI太强了怎么办?”这个问题,不再是一个哲学命题,而是一个正在发生的现实。
攻防格局的结构性变化
聊完攻击侧和防御侧的具体案例,现在可以回答标题里的问题了:AI到底把漏洞挖掘变成了什么?
Rapid7报告中的一组数据揭示了最根本的变化:漏洞利用以38%的占比首次超越钓鱼(24%),成为最主要的初始入侵入口。AI实现漏洞挖掘、POC/EXP生成、批量扫描、定向利用的全流程自动化,攻击模式从“欺骗人”转向“攻破系统”。
“漏洞军备竞赛”的本质:
效率层面的降维打击。 AI把漏洞发现从“人工手工业”升级为“自动化流水线”——挖掘、验证、武器化、批量利用全部自动化,传统以周为单位的安全测试被压缩到小时甚至分钟级。
攻击面在两个维度同时拉大。 深度维度上,AI能发现人类专家也难以捕捉的逻辑缺陷和跨函数深层bug;广度维度上,攻击者能以机器速度系统性地遍历数千个资产。
时间窗口正在蒸发。 漏洞利用武器化的时间从几周缩到5天,威胁已从“未来可能性”变成“当下现实”。
但AI也在帮防御端。 MDASH用100个Agent互相对抗来过滤误报,APT-Agent用混合修正模块对抗LLM的技术幻觉,FuzzingBrain V2用MCP协议打通静态分析和动态验证之间的壁垒。
这些变化对一个具体的白帽子或者安全工程师来说,到底意味着什么?
最直接的冲击在工作流层面。过去,一名渗透测试工程师的核心工作流是:用扫描器跑第一轮 → 人工筛选告警 → 手动验证高危项 → 编写报告。现在,AWS Security Agent已经能在无人干预的情况下7×24小时自动完成整套渗透测试流程——信息收集、漏洞识别、攻击链构建、利用验证,全部交给AI Agent自动执行。安全工程师的角色,从“亲自动手挖洞”变成了“审核AI的挖洞结果”。
更深层的变化在能力结构层面。AI不仅在“找漏洞”这件事上比人快,它还在“找哪种漏洞”这件事上比人更全面。AI能同时处理从Web应用到网络协议栈、从云原生环境到嵌入式系统的多领域漏洞挖掘,而人类安全专家往往只精通一两个方向。未来的安全从业者,核心竞争力不再是“我懂多少种漏洞类型”,而是“我能不能构建和管理一支AI安全Agent团队”。
反过来看,这也意味着一个巨大的能力杠杆。过去企业要养活一支完整的安全团队,至少需要Web安全、二进制安全、移动安全、云安全等不同方向的专家各一到两名。现在,一个具备AI Agent编排能力的安全工程师,理论上可以调度几十个专业Agent覆盖所有攻击面。这对中小企业来说是安全能力的平民化,对安全从业者来说是职业能力的重新定义。
网安人的下一步
回到开篇的问题:AI已经把漏洞挖掘变成了一场军备竞赛,你还在手动敲测试用例吗?
这不是危言耸听。Google已经实锤了第一例AI原生零日攻击,微软已经有100个AI Agent在Windows内核里24小时不间断地找洞,而漏洞武器化的窗口期正在以天为单位缩短。
对网安从业者来说,2026年最值得关注的三个变化方向是:
多Agent架构的安全测试平台正在成为主流——将复杂的安全测试流程拆解为多个专业Agent模块,实现资产发现、漏洞扫描、渗透验证的并行执行。
AI驱动漏洞利用已从概念验证进入真实攻击阶段——漏洞利用首次超越钓鱼成为最主要入侵入口,攻击重心从“欺骗人”转向“攻破系统”。
安全工程师的角色正在从“操作者”变为“指挥者” ——学会调度AI Agent、解读AI产出的安全洞察、在AI发现的海量漏洞中做优先级决策,是这个职业在AI时代的核心竞争力。
你的挖洞工具、你的工作流、你的技能树——这三样东西至少得有一个开始跟AI深度绑定了。对手已经在用AI,你还在用双手?
本文案例与数据综合自Anthropic Mythos技术报告、Google GTIG威胁情报报告、Rapid7 2026 Q1威胁态势报告、Microsoft MDASH官方公告、ICSE 2026会议论文、AIxCC 2025竞赛等公开资料。
