夜雨聆风更多安全资讯和分析文章请关注启明星辰ADLab微信公众号及官方网站(adlab.venustech.com.cn)
前言
人工智能技术的爆发式发展,正在重构漏洞发现、攻击执行与安全防御的底层逻辑。从漏洞挖掘、利用代码生成,到攻击编排、横向渗透与自动化对抗,网络安全正从传统“人机对抗”快速演进为“机器对攻”。
AI正在以前所未有的速度压缩攻击链条:漏洞发现进入规模化、工业化阶段;漏洞从披露到利用的时间窗口从数周压缩至数小时甚至分钟级;AI驱动的深度伪造、自动化钓鱼、拟人化攻击流量持续增长;传统基于静态规则与人工响应的安全体系正在快速失效。
但决定未来网络安全格局的,并非AI本身,而是人类安全专家驾驭AI、组织AI、引导 AI的能力。AI可以放大能力,却无法定义目标;可以识别异常,却无法理解业务;可以生成策略,却无法承担风险。真正决定未来网络安全竞争力的,不是单点AI技术,而是“人类专家+AI系统”的协同作战能力。未来网络安全领域的核心竞争力,将从“单点工具能力”转向“人机协同体系能力”。
一、挖掘“革命”——从“人工”到“智能”,漏洞进入“工业化生产”阶段
1.1 AI驱动下的漏洞挖掘能力大爆发:4.8万CVE漏洞背后的技术推手
1.2 AI系统自身的脆弱性图谱:AI相关漏洞快速增长
二、时效重构——“窗口”消失,“负日攻击”成为新常态
2.1 漏洞利用超过网络钓鱼,成为最主要的初始访问媒介
2.2 披露漏洞的利用全链路时效,在AI驱动下被极速压缩
2.3 负日攻击 (Negative-Day) 态势:防御方逐渐失去先手优势
三、攻防博弈——AI驱动的攻击与对抗
3.1 AI驱动的社会工程攻击与识别对抗
3.2 AI驱动的网络攻击与识别对抗
四、人机协同——“机器对攻”时代的核心竞争力
4.1 人类攻防直觉成为复杂漏洞突破的关键
4.2 AI正在改变攻防对抗模式
五、范式转移——构建“AI对攻”时代的“人机协同”防御体系
5.1 回归本质:聚焦人的价值
5.2 告别“补丁焦虑”:风险优先级驱动的补丁策略
5.3 分钟级应急阻断:虚拟补丁与AI实时防御体系
5.4 零信任:持续认证对抗AI渗透
5.5 进攻性防御:“被动防御”转向“主动进攻”
六、结语
1
挖掘“革命”——从“人工”到“智能”,漏洞进入“工业化生产”阶段
年份 | 新增CVE数量 | 同比增长 |
2020 | 18,000 | — |
2023 | 30,000 | — |
2024 | 40,000 | +38% |
2025 | 48,185~48,367 | +20.6%~20.8% |
2026年4月,美国国家标准与技术研究院 (NIST)发布数据,CVE漏洞的提交数量在2020年至2025年间增长了263%[2],其2025年完成富化分析的CVE漏洞数量接近42000个,比以往任何一年都多了45%。而这一增长势头还将持续:2026年Q1的提交量又同比增长了近 1/3。
1.1 AI驱动下的漏洞挖掘能力大爆发:4.8万CVE漏洞背后的技术推手
2025年4.8 万个CVE井喷式增长的背后,是AI技术快速迭代发展所带来的漏洞挖掘能力的大爆发。
1.1.1 从“手工作坊”到“工业流水线”:AI语义推理催化漏洞挖掘效能大爆发
传统漏洞发现高度依赖安全专家的个人经验、代码扫描工具的规则匹配以及人工审计,效率和覆盖范围有限;而AI大模型凭借对代码语义的深度理解能力以及跨平台、跨语言的分析能力,逐步将漏洞挖掘从“作坊式手工”转向了“工业化流水线”,为漏洞挖掘领域带来了“质”的飞跃:通过对生产级代码库(如内核、浏览器)进行语义化推理,识别深层逻辑漏洞,大幅减少了研究人员的重复性工作,显著提升了漏洞挖掘效率。多家公司和安全专家的表态也已经证实了这一实效。
(1)Anthropic:Project Glasswing 首月战报——10000+高危或严重级别漏洞
2026年4月,人工智能公司Anthropic正式对外发布其突破性成果Claude Mythos Preview及一系列的技术验证与测试成果。宣称Mythos通过强大的自动化安全审计与代码生成机制,实现了安全研究流程的根本性变革,具备优秀的”自主发现漏洞并编写可利用代码”能力:自主发现数千个0day漏洞,几乎覆盖所有主流操作系统和Web浏览器;安全专家的重点则是判断、修复与发布。自动生成的利用代码,在实际渗透测试中利用成功率达72%。Anthropic公司经审慎评估后公开表示,认为“该模型的能力已过于强大,出于对社会责任与安全伦理的考量,现阶段不宜也无计划进行公开发布”;并在随后发起安全协作项目Project Glasswing,核心目的在于把模型能力交给关键合作伙伴,用于漏洞发现和修复。根据Project Glasswing的最新披露,约50家合作伙伴基于Mythos,共发现了10000+高危或严重级别漏洞。[3]
(2)微软:单月披露漏洞数量激增
微软在2026年4月的月度安全补丁更新中,公布了163个CVE编号。Patch Tuesday中披露了163个CVE漏洞,数量较近5个月“激增”。TrendAI的一名研究人员表示,微软披露的数量异常庞大,很可能与人工智能技术发展相关,其中包括借助大语言模型(LLM)驱动的工具挖掘出的漏洞数量持续增加。[4]
1.1.2 从“稀缺稳态”到“产能过载”:AI漏洞挖掘能力爆发重构漏洞安全秩序
Mashable的调研数据显示,AI发现重大软件漏洞的能力正以每年490%的速度增长,海量高质量0day漏洞集中涌现,彻底打破了过往人工主导的漏洞产出节奏,大量AI生成的漏洞报告甚至压垮了主流漏洞悬赏计划[5]——AI带来的漏洞“暴雨”效应,已让传统漏洞研判、处置、披露体系不堪重负,全球漏洞生态与协同治理机制面临失效与重构危机。
(1)NIST:将对NVD现有工作流程进行调整,以应对CVE的快速增长
2026年4月21日,NIST宣布:将对现有国家漏洞数据库 (NVD) 处理公共漏洞和暴露 (CVE) 的工作流程进行调整,以应对 CVE 提交近来快速增长的事实。从时间维度看,2025年仅上半年就披露了超过21000个CVE,日均约133个[6],这一速度远超人工审计时代的极限。而NIST数据也印证了这一点:自2024年初开始,NIST就积压了大量未完善的CVE,尽管较往年已经大幅提升了分析漏洞的数量,但截至目前仍有66000+漏洞因数量过载处于积压状态[7]。
(2)ZDI:Pwn2Own2026遭遇历史性漏洞挤兑,19年来首次因"容量过载"停摆
2026年5月7日,Pwn2Own柏林站突发历史性行业事件:在报名截止前48小时,紧急叫停所有新增0day漏洞提交,原因在于过去24小时收到的完整攻击链远超历史峰值,而ZDI的赛事评审、演示与打分全流程依赖人工,赛道容量、评审效率、项目预算及运行环境已达极限,无法接收更多参赛作品。据行业统计,ZDI 24小时内收到百余份申请,超过2023-2025三届赛事提交总和,超150支研究团队因名额饱和被拒参赛。Pwn2Own的大规模拒收引发了一系列连锁反应:过去,ZDI在赛事确认后会将漏洞同步给相关厂商,并为其预留90天的补丁研发和推送窗口期,之后才会公开漏洞技术细节;但由于被拒,数十名研究人员在比赛正式开始前,转而直接向厂商报送甚至是免费在网络上公开漏洞细节,这不仅导致部分入围参赛成果“未赛先失效”,更直接打破了ZDI传统的90天协同披露机制。
1.2 AI系统自身的脆弱性图谱:AI相关漏洞快速增长
AI技术高速迭代落地,在大幅降低漏洞挖掘门槛、赋能攻防研究的同时,自身也成为为高危新兴攻击面。AI系统,尤其大语言模型(LLM),存在大量传统软件所不具备的特有漏洞,已成为安全防御的新盲区。2026Pwn2Own赛事结果显示,其新增的覆盖企业级AI全栈基础设施安全的AI赛道,核心目标清单(OpenAI Codex、LiteLLM、NVIDIA Megatron Bridge、LM Studio、Chroma向量数据库等)均被成功攻破,达成100%目标失守,刷新历届AI安全赛事溃败纪录。
1.2.1 AI相关CVE数量激增,高危或严重漏洞近半数[8]
TrendAI™在《2026年AI安全态势报告》的研究显示:2018年至今已发现超6000个AI相关独有漏洞,其中2025年单年达2130个,创历史新高,同比增长34.6%,增速是整体 CVE 增速(17.9%)的近两倍。
在统计的6086个AI相关漏洞中,有3257个已分配CVSS评分并评定等级,其中1593 个被评为高危/严重级别(CVSS≥7.0),占已评分漏洞总数的 48.9%,凸显整个 AI 生态存在严峻的安全风险。
1.2.2 AI系统的漏洞风险远高于传统软件
Cobalt在其发布的《2026年度渗透测试态势报告》中指出[9]:
大模型(LLM)高风险漏洞比例是其他软件漏洞的2.7倍。
在所有被测应用类型中,大模型的漏洞修复率最低,高风险问题仅修复38%。
20%的企业表示,过去一年内遭遇过大模型安全事件;另有18% 表示 “不确定”,19% 拒绝回答。
CNCERT(中国国家互联网应急中心)发布的《2025年人工智能大模型产品漏洞众测结果》[10]显示,国内AI大模型及应用产品同样面临着大量传统安全之外的风险:15款产品被发现各类安全漏洞281个,其中大模型特有漏洞177个,占比超60%。
2
时效重构——“窗口”消失,“负日攻击”成为新常态
AI带来的不仅是漏洞数量的爆发,更从根本上改变了漏洞从披露到被利用的时效。当漏洞挖掘进入机器时代,漏洞利用也随之进入“实时化”阶段,防御方面临前所未有的时间压力。
2.1 漏洞利用超过网络钓鱼,成为最主要的初始访问媒介
Verizon2025年发布的第18版《数据泄露调查报告》(DBIR)显示,2025年数据安全威胁态势空前严峻。从全球范围来看,利用漏洞作为初始攻击手段的情况有所增加,2024年漏洞利用攻击增长180%,2025年占比从2024年的14.9%上升至20%,同比增长了 34%。漏洞利用,首次超过网络钓鱼,成为仅次于凭证滥用(22%)的入侵首选。[11]
Verizon:非错误、非滥用类数据泄露事件中已知的初始入侵载体分布[12]
报告发现,20%的泄露以此开局,其中22%直接攻击VPN与网关设备,同比激增八倍。0day漏洞利用,尤其是针对边界设备和虚拟专用网络(VPN)的0day漏洞利用,被认为是导致数据泄露事件数量上升的一个推动因素。0day远程执行、配置界面SQL注入等高危漏洞常在周末集中爆发,造成补丁窗口被极度压缩。
Verizon 企业业务亚太区副总裁Robert Le Busque表示:“全球企业所面临的网络威胁正变得越来越复杂且持续存在。特别是在亚太地区,外部行为者正将关键基础设施作为攻击目标,并利用第三方漏洞进行攻击。数据泄露事件发生率的上升凸显了企业重新评估其风险框架的紧迫性。”[13]
2.2披露漏洞的利用全链路时效,在AI驱动下被极速压缩
在AI技术的快速迭代和驱动下,漏洞从披露到被利用(TTE)、入侵到横向渗透(Breakout Time) 的双重时间窗口,已全面坍缩,传统防御体系基本失去时间优势。
2.2.1 漏洞披露到在野利用时间 (TTE) :从百天压缩至“即发即用”
漏洞从公开披露到被实际在野利用的时间(Time-to-Exploit, TTE),是防御方的核心安全防护窗口期,但这一窗口在快速消失:
表中对比了不同数据源对漏洞披露至武器化利用耗时(TTE)的统计结果。尽管各数据源因样本定义与统计口径不同而存在数值差异,但整体趋势高度一致:漏洞武器化周期持续缩短。可以看到,2018年以来,漏洞被利用耗时呈现断崖式下降,从“年”级一路跌到“小时级/即时利用”,传统以月度为单位的补丁管理模式已无法适配当前 “披露即利用” 的威胁格局,企业面临严重的暴露风险。
ZerodayClock:TTE用于衡量CVE公开披露与首次确认野外利用之间的时间间隔。数值为零代表当日即被利用
仔细分析ZeroDayClock基于3500+已被确认遭利用的CVE漏洞的实时数据,可以看出:
2018–2020年:利用周期以年为单位,防御方有充足时间完成补丁测试、验证与全网部署。
2021–2022年:加速腰斩,平均TTE进入百天级,而Median TTE直接压缩到2个月,说明批量exp工具、公开POC扩散变快,半数漏洞在2个月内被利用。
2023年:中位数TTE直接压缩至5.3天,说明一半漏洞在披露后5天多就被武器化,传统按月补丁周期已无法匹配。
2024年:中位数TTE为12小时,进入小时级/即日利用阶段—— 半数漏洞公开当天甚至几小时内就被利用,AI可在漏洞公开后10–15 分钟内生成可落地利用代码。
2025–2026年:中位数TTE为0,2026年平均TTE仅2.4天,呈现“即发即用”特征——意味着超过半数漏洞在披露当日就已有武器化利用,防御方几乎无缓冲时间。
2.2.2 突破时间(Breakout Time) 极限:从小时级压缩至27s极限
“突破时间”,指的是攻击者从初始入侵到横向移动至其他系统的时间,它是衡量攻击速度的关键指标;而在AI的加持下,这一指标屡创纪录。
年份 | 平均eCrime突破时间(分钟) | 较上一年缩时 |
2021 | 98 | - |
2024 | 48 | -51.0% |
2025 | 29(最快记录:0.45) | -65.0% |
eCrime突破时间相关数据表
CrowdStrike发布《2026全球威胁报告》[17],将 2025年定义为“诡谲攻击者之年”,其核心特征是:攻击极速化、身份凭证滥用、直接针对AI 系统。报告显示[18],2025年网络犯罪组织的平均“突破时长”已从上一年度的48分钟压缩至29分钟,突破时间创下历史新低,增速高达 65%。极端案例中,攻击者仅用27秒就完成从初始立足点到其他主机的横向移动[19];而在某起入侵事件中,攻击者在获得初始访问权限后4分钟内就开始窃取数据[20]。
2.2.3 时效坍缩的本质:AI 重构攻击全链路
这一坍缩的核心,是AI在“漏洞发现→利用生成→入侵渗透→横向扩散”的全链路上能力的不断提升与进化。过去,编写一个高质量的漏洞利用代码需要资深安全研究员数天甚至数周的时间:搭建环境、分析漏洞、编写利用代码、部署环境、测试;如今,漏洞披露后,研究员可以借助AI高效解析漏洞信息、快速编写适配不同环境的漏洞利用代码、分钟级生成跨环境可用的攻击载荷,将周期从“天级”压缩至“分钟级”。
UIUC的一系列成果,也证实了大模型智能体可以利用真实系统中的0/1 day漏洞:
研究成果 | 关键结论 |
《LLM Agents can Autonomously Exploit One-day Vulnerabilities》[21] | 1)高级 LLM(GPT-4)具备自主理解并链式利用真实高危1day漏洞的能力,远超传统漏洞扫描器与普通大模型。 2)利用成功率依赖漏洞描述情报,有情报加持时威胁极强(成功利用率达87%),无情报则能力大幅下降(成功率降至7%)。 |
《Teams of LLM Agents can Exploit Zero-Day Vulnerabilities》[22] | 协同LLM 智能体,具备在零先验信息下自主发现并利用真实0day漏洞的能力:HPTSA(GPT-4)最多 5 轮尝试,成功利用比例达42%,整体成功率18%。 |
《How CS professor and team discovered that LLM agents can hack websites》[23] | 大模型智能体可自主入侵网站,在无预先漏洞信息的情况下执行复杂任务,最强大的智能体可攻破测试中73.3%的漏洞;但AI并没有创造出人类安全专家无法实现的全新攻击能力。 |
2.2.4 未来预测:2028年漏洞利用时间将缩短至分钟级
Saptang Labs分析认为,补丁的周期已无法跟上利用速度;到2028年,高危漏洞的漏洞利用时间,将从当前的24–48小时缩短至分钟级。而未来,补丁的发布甚至反而可能触发大规模的漏洞利用[24]。
2.3 负日攻击 (Negative-Day) 态势:防御方逐渐失去先手优势
“负日攻击”(漏洞在公开披露前已被利用)逐步成为安全态势,标志着防御方失去“先披露、后防御”的先手优势。
(1)Google
Google威胁情报团队(GITG)的数据显示:到2024年,诸多漏洞被利用时间已达到约 -1天,即漏洞利用行为先于官方披露,这意味着厂商的漏洞修复流程尚未启动,攻击已大规模发生。[25]
Google在《2025年0day漏洞年度复盘报告》指出,2025年共追踪到90个在野被实际利用的零日漏洞,近五年零日年度总量整体呈稳中有升态势,常年在60–100区间波动,标志着0day漏洞在野利用规模已进入稳态化阶段。
GTIG:每年0day在野被实际利用的0day漏洞数量分析
其中,2025年针对企业软件与安全设备的在野利用的0day漏洞占比,从2024年的46%升至48%,标志24年首次显现的结构性趋势得到延续,威胁格局发生结构性转向:攻击者转向针对企业级资产发起0day利用——企业基础设施可实现权限提升、高阶访问、大范围横向扩散,攻击价值极高。[26]
(2)CrowdStrike
CrowdStrike发布《2026全球威胁报告》,指出其观测到:在公开披露前就遭利用的0day漏洞数量同比激增42%,攻击者将数十个0day漏洞武器化,用于初始入侵接入、远程代码执行、权限提升等攻击环节。[27]
(3)ZeroDay Clock
ZeroDay Clock网站的统计数据显示,在漏洞利用攻击中,0day漏洞利用攻击(在漏洞公开披露当天或之前已经出现利用)的占比飙升,从2018年的16.1%升至2025年的54.2%,而2026年截至5月10日的不完全统计,其占比甚至高达77.2%[28]。
ZeroDay Clock:漏洞利用攻击中0day漏洞占比趋势(2026-5-10)
3
攻防博弈——AI驱动的攻击与对抗
漏洞利用速度的急剧坍缩,只是AI改变网络攻击的第一步。自2024年7月以来,AI爬虫程序流量同比增长300%,对网站和API造成显著压力[29]。CrowdStrike发布的《2026全球威胁报告》也提到,AI赋能的攻击者行动量同比增长89%。
3.1 AI驱动的社会工程攻击与识别对抗
3.1.1 深度伪造攻击
传统的安全意识培训,常教导员工辨别语法错误、可疑发件地址和通用问候语,辨别钓鱼攻击。如今,这些防御手段已过时。根据Compliance Core Insight发布的数据显示,2023至2024年,深度伪造事件激增3000%,且增长持续加速。2025年单季度增幅达317%。加密货币行业已成为深度伪造欺诈的重灾区,2023 年占所有已检测深度伪造案件的88%;金融科技行业紧随其后,同年深度伪造事件增长700%。
人工智能极大地强化了长期存在的社会工程学攻击,能显著缩短时间并提高攻击成功率。攻击者越来越多地使用人工智能收集数据、模仿行为,甚至精准多语言翻译,使攻击比以往更加个性化、更具欺骗性[30]。AI的发展,改变了社会工程学的攻击格局[31]。
(1)AI深度伪造和语音克隆技术,加剧语音钓鱼事件对组织的影响
当今的语音克隆技术仅需3-5秒的音频样本,即可生成逼真的语音克隆,真实程度足以欺骗家庭成员,70%的人怀疑自己无法区分真实与伪造语音,68% 的深度伪造内容如今几乎与真实媒体无异。
(2)AI极大提升钓鱼攻击的速度、质量、规模和自动化程度,定性攻击成本接近“零”
美国联邦调查局(FBI)在2024年就发布过官方警告,指出 AI 极大提升了钓鱼攻击的速度、规模和自动化程度;AI帮助诈骗者炮制针对特定收件人的高欺骗性邮件,增加了欺骗成功和数据泄露的风险;一段乔・拜登总统的深度伪造自动语音电话仅需1美元、不到20分钟即可制作完成。
2025年,AI辅助生成的邮件数量激增,语言模型可模仿企业文风甚至个人邮件语气,消除了曾警示警惕用户的明显错误,使得钓鱼攻击的冒充能力更强、逼真度更高,即使经过训练的安全专业人员也有可能被AI钓鱼攻击欺骗。
(3)深度伪造绕过生物识别认证的攻击增长迅速
2023 年,绕过生物识别认证的深度伪造攻击增长704%。攻击者使用换脸深度伪造和虚拟摄像头,骗过旨在确认真人在场的活体检测。Gartner预测,到 2026年,30%的企业将不再认为独立的身份验证和认证解决方案可靠。
3.1.2 检测方法
通过利用前沿技术,当前已经发展出一系列多层次、智能化的综合检测方法。
(1)AI驱动的活体检测(Liveness Detection)
AI智能体活体检测旨在身份验证过程中区分真实的、活生生的人类与AI生成或合成身份(如深度伪造或AI机器人)。通过在活体检查期间利用机器学习算法分析广泛的数据点,寻找AI难以复制的细微生理、行为和微表情线索,以对抗深度伪造[32]。
(2)基于AI的行为分析和异常检测
通过部署专门训练的机器学习模型,对用户在通信网络中的宏观与微观行为模式进行持续监控与基线建模。从内容层面检测异常的内容特征(如文本风格突变、非典型的语义结构或生成式AI特有的语言痕迹),从网络层面识别出偏离正常模式的通信行为(例如异常的登录时间、频率、地理位置或交互对象),进而提前发现潜在的深度伪造或自动化攻击活动。
(3)自适应认证(Adaptive Authentication)
根据实时风险评估结果,灵活地调用或组合不同强度的认证因素。融合用户的行为生物特征(例如打字节奏、鼠标移动轨迹或设备使用习惯等),并结合传统的知识型(密码)和持有型(令牌)因素,形成自适应的多因素验证方案。
3.2 AI驱动的网络攻击与识别对抗
3.2.1 AI驱动的网络攻击:拟人化、隐蔽化、无特征化
AI在提升攻击速度的同时,全面升级攻击隐蔽能力。通过高度拟人的伪装规避检测,在流量特征上与传统攻击存在本质区别,彻底颠覆了传统攻击的“特征化”模式,使攻击行为更难被发现、更难被追溯。
操作行为拟人化:区别于传统自动化工具的 “机械性” 操作特征,AI可以模拟人类的鼠标移动、键盘输入、页面浏览等行为,甚至能随机停顿、返回操作。
低频慢速请求:有别于传统DDoS式的“海量请求”,采用低频、慢速的请求模式,单IP单时段请求量与人类用户无异,能够在一定程度上有效规避基于请求频率的检测规则。
TLS 加密混淆:大量使用TLS加密通信,随机更换加密套件、调整握手参数,让传统深度包检测(DPI)技术失效,无法通过简单的数据包内容识别攻击意图。
行为多样化:每次攻击行为模式可动态调整,攻击路径、载荷形态、交互节奏等可以实时变化,难以持续通过固定规则或特征库捕获。
3.2.2 新型识别技术栈
针对AI攻击的“隐身特征”,业内已形成一系列基于指纹、行为、流量异常分析为核心的检测技术:
(1)传输层安全协议(TLS)指纹识别技术
基于TLS握手行为特征识别客户端,不依赖IP与 User-Agent,可精准区分AI机器人与真实浏览器操作,不受IP轮换与代理伪装的影响;基于JA4的TLS指纹识别,已被Auth0[33]、DataDome[34]等厂商大规模应用,识别准确率超过 95%。
(2)行为指纹检测
HUMAN Security Satori的研究证实,AI智能体虽然能模拟人类逻辑,但在微观物理行为上仍有“合成感”,在执行操作时会留下可识别的行为特征,例如真实人类的鼠标移动是不规则且不可预测的,而AI生成的轨迹通常极其平滑、线性,且移动增量为固定像素;人类打字具有自然的节奏波动(每秒3-8 字符),而自动化脚本通常表现为非自然的匀速高频输入。同时,许多智能体依赖 Playwright、Puppeteer 或 Selenium 等自动化库,这些库会在浏览器中留下结构性指纹,例如navigator.webdriver = true,或在网页DOM中注入特定的ID。
通过捕捉AI智能体在鼠标移动轨迹、工具链(Playwright 等)、请求间隔分布、会话操作序列等方面的细微差异,融合多个弱信号,可实现对 AI 攻击流量的精准分类[35]。
(3)LSTM + Transformer-MLP 双阶段检测
韩国全北国立大学,在论文《Detecting AI-Generated Network Traffic Using Transformer–MLP Ensemble》中指出传统单一LSTM模型对常规MQTT恶意流量检测效果优异,但对AI生成伪造流量检测能力大幅衰减,部分攻击场景检测准确率仅36.87%,无法应对AI驱动的新型网络伪装攻击;Transformer-MLP集成模型,可有效捕捉AI生成流量在协议时序与状态转移上的细微异常,对 GAN、GPT-4o 生成的伪造流量检测率可达100%。
因此,他们提出了LSTM + Transformer-MLP双阶段检测架构:第一阶段依靠LSTM快速过滤传统DoS、暴力破解、畸形报文等恶意流量;第二阶段通过MQTT消息类型转移特征建模,精准识别AI合成流量。
传统基于静态规则、固定特征与人工响应的安全体系,正在快速失效。网络安全对抗,正在从“规则博弈”进入“智能博弈”。
4
人机协同——“机器对攻”时代的核心竞争力
AI技术的快速发展,正在深刻改变网络安全领域的攻防模式。从漏洞发现、利用代码生成,到自动化渗透、攻击编排与实时检测,网络攻防正全面进入“机器对攻”时代。
但AI并未取代顶级安全研究员,其核心价值,是放大人类安全专家的认知能力。随着漏洞规模持续爆发、攻击链路不断加速、系统复杂度快速提升,人类安全专家的战略判断、复杂系统理解能力以及攻防直觉,正在成为决定攻防成败的关键核心能力。
未来网络安全领域真正的竞争,不再是“人vs AI”,而是谁更能实现“人主导AI、AI 放大人”的高效协同。
4.1 人类攻防直觉成为复杂漏洞突破的关键
近期多个高影响力漏洞案例都表明:“真正决定漏洞突破方向的,仍然是人的经验、直觉与系统理解能力;AI的核心价值,则是高速推演与大规模路径搜索”。这意味着,未来顶级漏洞研究正在从“纯人工研究”进入“人机协同研究”阶段:人类“异质直觉”与AI“高维推理”的化学反应,能够突破传统漏洞挖掘的盲区,发现传统肉眼与扫描器永远无法触及的复合逻辑漏洞,并且正在将对抗焦点从单点的“局部坏代码”,推向“单点孤立无害,交汇组合致命”的跨子系统复合逻辑冲突。这类隐患因缺乏语法破绽或常被视为低危瑕疵,极易在动态交织中形成传统扫描器无法触及的架构盲区。近期轰动安全圈的Linux漏洞与macOS M5芯片防护绕过事件,正体现了这一趋势。
(1)Linux:连续2周被爆出“近年来最严重漏洞”CopyFail和DragDirty
2026 年,Linux连续两周爆出CopyFail与DirtyFrag高危漏洞,被认为是近年来最严重漏洞。
Theori研究员Taeyang Lee凭借其对跨子系统交互边界保护的敏锐直觉,在无测试外壳(Harness)的情况下,仅通过操作员提示词引导AI平台,在1小时内便精准锁定Linux本地提权漏洞"Copy Fail"(CVE-2026-31431)。该漏洞打破了传统对Linux内核安全边界的认知:多个独立子系统虽然各自合规,但因叠加了一项底层的性能优化逻辑,在复杂的动态交汇处形成了架构盲区;攻击者可以利用Linux的加密子系统,突破内存隔离,强行将4字节的恶意数据写入系统核心文件的“页缓存”。该漏洞,于2026年4月底公开,潜伏长达9年,波及几乎所有主流发行版。
而在该漏洞被披露一周后,与Copy Fail同原理、不同入口且能绕过Copy Fail防护的Dirty Frag被紧急披露[36]。Dirty Frag是纯逻辑漏洞,其本质是CVE-2026-43284(xfrm-ESP)、CVE-2026-43500(RxRPC)两个低危逻辑缺陷漏洞的链式利用,核心在于篡改页缓存中的只读文件(如/bin/su、/usr/bin/passwd),从而提权。其发现者Hyunwoo Kim(@v4bel)称Dirty Frag的发现,始于对Copy Fail的研究。值得警惕,Dirty Frag的提前披露,源于第三方人员从公开补丁中反向推导出漏洞原理,并直接在网上披露完整技术分析与EXP,导致Kim被迫提前公开全部细节。
(2)MacOS:最新macOS+M5芯片硬件防护在5天内被攻破
2026年5月,安全团队Calif在5天内攻破Apple Silicon M5芯片硬件防护机制,再次震动安全行业。研究员在发现macOS 26.4.1系统层上两个独立且看似无害的弱Bug后,基于“不对劲”的直觉,引入Claude Mythos Preview,借助其泛化和图搜索编排能力尝试在两个弱Bug之间寻找缺口,自动编排漏洞利用链逻辑,在跨模块交汇处串联成了致命的利用链:仅利用标准系统调用,实施“纯数据攻击”(Data-Only Attack),篡改内存信任结构,即实现对硬件级内存完整性保护机制(MIE)的绕过。这一突破,源于Calif专家与AI的高频协同——顶级专家在真机上进行微架构动态调试,将捕获的实时硬件反馈和基于此实时调整的指令作为上下文喂给AI,驱动AI高速更迭生成攻击脚本,在5天内成功攻破。
整个过程中:人负责定义方向、提出假设、识别异常,AI负责高速推演与路径搜索。真正关键的突破点,来自研究员对系统边界与异常行为的长期理解和战略直觉。“人类经验”不仅没有贬值,反而通过AI的高维算力得到了成百倍的放大:人类专家凭借顶尖的攻防直觉划定战术战场、给出关键假设,完成0到1的破局;而AI则负责在海量的系统状态与数据流中进行高频的图搜索与路径推演,实现1到N的放大。这种人机协同的闭环,正以前所未有的速度刺破那些深埋于系统底层的语义盲区,宣告了传统“按图索骥”式安全工具的过时,更让未来的漏洞对抗从单纯的“局部代码审计”彻底跃升为高维度的复杂系统逻辑博弈。
这意味着,未来顶级安全研究的核心比拼,本质上取决于谁能将人类几十年沉淀的攻防经验、对系统底层架构的直觉,精妙地转化为能够引导AI深入高维度逻辑死角的提示词与上下文反馈机制,谁就能在这场智能网络对抗中牢牢掌握绝对的主导权。
4.2 AI正在改变攻防对抗模式
AI 驱动的攻击速度与漏洞规模,正在全面冲击传统安全体系。过去以周期性补丁、静态规则、人工研判、事后响应为核心的防御体系,越来越难以适应当前威胁环境。AI攻击与检测的对抗已进入 “动态迭代” 阶段:
攻击侧:AI Agent可自动生成利用代码、构造变体攻击载荷、动态调整每轮攻击参数,甚至能基于防御方的检测规则实时调整策略,规避特征被捕获。
防御侧:各大研究机构与安全厂商持续探索新的检测技术与方法,构建动态检测模型,通过AI实时学习攻击特征并更新检测规则。例如图基异常检测技术:将网络流量建模为图结构,由AI自动识别异常交互与隐蔽的横向移动行为,有效发现传统签名检测无法识别的新型攻击;加密流量AI分析技术:在不解密的前提下,利用握手元数据与行为特征识别恶意加密流量,适配AI攻击常用的加密场景。目前已有多家厂商推出基于AI的商业化安全产品。
各平台相关信息表
厂商 | 核心技术 | 特点 |
Darktrace | 自学习行为分析 | 建立企业网络的“正常行为基线”,实时检测偏离基线的AI攻击行为。 |
Vectra AI | 行为威胁检测AI | 覆盖加密流量,针对7个安全域构建AI威胁检测模型,覆盖加密流量的全维度分析。 |
CrowdStrike | AI异常检测 | 机器学习技术与行为分析:可在终端、身份账号及工作负载中检测异常情况,自动关联各类风险信号,全域数据集成。 |
Palo Alto Networks | AI与机器学习驱动的实时防御体系 | 预测性洞察:机器学习模型通过分析历史数据与威胁趋势,预测潜在及新兴风险。 行为异常检测:利用AI建立网络正常行为的基准线,并标记可能表明存在安全漏洞的偏差行为。 自适应学习:能持续从新数据中学习,从而提升应对网络威胁的准确性和有效性。 |
Splunk | AI驱动的凭据泄露检测 | 可通过会话级行为指纹,检测异常命令执行,提前识别异常的漏洞利用尝试。 |
攻防双方形成了“攻击变异--检测升级”的高速闭环,纯人工规则已无法跟上对抗节奏。但这场机器对抗的背后,仍是人类智慧的较量。AI可以高效处理海量流量、执行复杂推演、捕捉细微异常,却无法真正理解业务场景、组织风险与现实世界中的战略目标,无法替代人类安全分析师的核心价值——AI可识别“异常信号”,但最终需要专家确定“异常是否为攻击”、分析“攻击的意图与影响”;攻击端AI的策略优化、防御端检测模型的迭代调校,最终都依赖人类安全专家的经验积累与战略判断。AI只是人类智慧的延伸,无法独立赢得对抗优势。
5
范式转移——构建“AI对攻”时代的“人机协同”防御体系
AI 正在改变网络安全的底层运行方式、重构网络安全攻防的速度与规模,但真正决定未来攻防上限的,仍然是人类智慧与AI能力的融合效率。未来网络安全领域的竞争,已经不再只是AI模型能力的竞争,而是谁更能将人类几十年积累形成的攻防经验、复杂系统理解能力以及行业知识,转化为 AI 的推演能力与响应能力。AI 可以帮助人类突破传统分析效率的极限,但无法脱离人的目标设定、方向引导与战略判断而独立形成真正有效的攻防体系。
面对AI驱动的漏洞爆发、极速利用与隐蔽攻击,防御方必须从被动响应转向主动对抗,构建适配“机器对攻”时代的全新安全范式;未来安全体系的核心原则,不是“AI替代人”,而是“人主导AI、AI赋能人”。谁能够率先建立“人机协同”的新型安全体系,谁就能够在高速迭代、持续演化的智能攻防对抗中占据主动。
5.1 回归本质:聚焦人的价值
AI是网络安全领域的重要工具升级,但并不会取代行业核心价值。AI迭代只会淘汰重复性低效工作,对从业者能力的要求并未降低,而是发生了结构性变化:未来行业最稀缺的资源,不是单一的AI工具,而是懂业务、通攻防、善用AI的复合型安全人才。顶级安全专家的核心价值将从传统手工操作,转向驾驭、统筹、引导 AI 开展工作,角色也从规则执行者转变为AI指挥者与体系设计者,核心竞争力聚焦于战略判断、系统理解、体系治理和AI 应用,依托 AI 放大自身专业优势。聚焦人的价值,强化复合型核心人才的培养与队伍建设,方能筑牢“人机协同”的根基。
5.2告别“补丁焦虑”:风险优先级驱动的补丁策略
面对AI驱动的漏洞爆发与极速利用,传统“全量、按时”的补丁管理模式已无法应对AI驱动的漏洞爆发,需转向“风险优先级驱动”的策略:结合EPSS(Exploit Prediction Scoring System)评分和CVSS评分,量化漏洞被利用的概率和危害程度;结合业务场景、合规要求,界定核心资产、判定漏洞优先级,优先选择风险优先级高的漏洞进行修复。
5.3 分钟级应急阻断:虚拟补丁与AI实时防御体系
针对漏洞利用的“分钟级”特征,需构建“虚拟补丁+AI实时防御”的快速响应体系,工程师则重点聚焦虚拟补丁有效性验证、规则合理性判断、误拦截排查处置、拦截规则优化调整,实现“有效阻断+业务无影响”的双重目标:
虚拟补丁/ WAF规则自动化生成:在官方补丁发布前,借助AI分析漏洞特征,自动生成虚拟补丁和WAF规则、主机入侵防御策略,临时阻断漏洞攻击向量。
基于AI的实时防御:部署AI驱动的自动化检测与响应体系,识别并阻断AI生成的攻击载荷、利用代码,甚至预判攻击路径。
5.4 零信任:持续认证对抗AI渗透
“AI 随时可能入侵”、“AI可能持续渗透”的前提下,以零信任重构访问体系:
持续验证每一次访问,放弃单次信任。
最小权限+微隔离,限制AI攻击横向扩散范围。
行为风控与环境感知结合,确保即使AI突破单点认证,也无法持续访问核心资源。
5.5 进攻性防御:“被动防御”转向“主动进攻”
防御方需从“被动防御”转向“主动进攻”,由安全专家注入安全规则、攻击模式、行业经验,利用AI大模型或智能体能力,通过漏洞挖掘、威胁狩猎、攻防模拟演练等多种途径,先于攻击者发现并修复自身0day漏洞,抢占时间先机。
6
结 语
本次调研梳理了AI技术迭代下的网络安全漏洞攻防新态势:AI的普及应用重构了漏洞挖掘、攻击利用、攻防对抗的全链路逻辑,实现了漏洞产能爆发、攻击时效坍缩、对抗形态升级,同时催生了AI系统自身的新型脆弱性,让网络安全防御面临前所未有的挑战。
纵观所有变革与博弈,其核心本质并未改变:AI始终是辅助攻防的工具,人类才是网络安全的主导者。AI可以放大攻防效率、简化重复工作、提升检测精度,但无法替代人类的创新思维、场景研判、战略决策与风险把控能力。机器对抗的背后,终究是人类技术、经验与战略的博弈。
未来,网络安全防御建设需扭转AI主导的误区,坚守“人主机辅”的核心逻辑,以高端复合型安全人才为核心,依托AI工具实现能力赋能,构建“人机协同”的新型安全防御体系,持续应对动态迭代的智能攻防威胁,筑牢数字化时代网络安全屏障。
[1][统信-2025全球漏洞态势回顾与展望](https://www.uniontech.com/news-info/2827.html)
[2][Stingrai](https://www.stingrai.io/blog/vulnerability-statistics-2026)
[3]https://mp.weixin.qq.com/s/KLaaymTzCJSNi6eRjuVN3A
[4]https://www.crn.com/news/security/2026/microsoft-discloses-monstrous-number-of-bugs-as-ai-discoveries-surge-researcher
[5][Mashable - AI has led to a zero-day bug discovery crisis] (https://mashable.com/article/ai-discovered-zero-day-bug-reports-crisis)
[6][Deepstrike](https://deepstrike.io/blog/vulnerability-statistics-2025)
[7][NVD Dashboard](https://nvd.nist.gov/general/nvd-dashboard)
[8][Trend Micro - State of AI Security Report](https://www.trendmicro.com/vinfo/us/security/news/threat-landscape/fault-lines-in-the-ai-ecosystem-trendai-state-of-ai-security-report)
[9][DRJ - One in five experienced an LLM security incident](https://drj.com/industry_news/one-in-five-experienced-an-llm-security-incident-in-the-last-year-with-32-of-ai-vulnerabilities-rated-high-risk/)
[10]https://www.cert.org.cn/publish/main/12/2025/20250916084809169628858/20250916084809169628858_.html
[11]安全内参:《DBIR报告揭示2025年数据安全十大趋势》https://www.secrss.com/articles/78244
[12]https://www.sgpjbg.com/baogao/640408.html
[13]https://securitybrief.asia/story/system-intrusions-cause-80-of-asia-pacific-data-breaches
[14]https://zerodayclock.com/
[15][Resilient Cyber - The Zero Day Clock Is Ticking](https://www.resilientcyber.io/p/the-zero-day-clock-is-ticking-why)
[16][Flashpoint - N-Day Vulnerability Trends: The Shrinking Window of Exposure](https://flashpoint.io/blog/n-day-vulnerability-trends-turn-key-exploitation/)
[17]https://www.crowdstrike.com/explore/2026-global-threat-report/2026-global-threat-report?utm_medium=dir
[18]https://www.itsecurityguru.org/2026/02/24/ai-arms-race-shrinks-breakout-time-to-29-minutes-as-adversaries-turn-genai-on-the-enterprise/
[19]《黑客 27 秒突破、4 分钟横向移动:2026 年,AI 正将网络攻防推向生存竞速》https://www.51cto.com/article/841269.html
[20]https://www.itsecurityguru.org/2026/02/24/ai-arms-race-shrinks-breakout-time-to-29-minutes-as-adversaries-turn-genai-on-the-enterprise/
[21]https://arxiv.org/abs/2404.08144
[22]https://aclanthology.org/2026.eacl-long.2.pdf
[23]https://siebelschool.illinois.edu/news/ChatGPT-Hacking-Test
[24]https://saptanglabs.com/from-48-hours-to-minutes-why-time-to-exploit-is-shrinking-faster-than-patch-cycles/
[25][GCS Technologies](https://www.gcstechnologies.com/how-zero-day-exploits-are-becoming-more-common-and-how-to-prepare/
[26]https://cloud.google.com/blog/topics/threat-intelligence/2025-zero-day-review
[27]https://www.crowdstrike.com/en-us/blog/crowdstrike-2026-global-threat-report-findings/
[28]https://zerodayclock.com/
[29][Akama -2025年度回顾:AI、API以及十足的胆识] (https://www.akamai.com/zh/blog/security/year-review-2025-ai-apis-audacity)
[30][CrowdStrike - AI-Powered Social Engineering](https://www.crowdstrike.com/en-us/cybersecurity-101/social-engineering/ai-social-engineering/)
[31][LinkedIn - Deepfake attacks bypassing biometric authentication increased by 704%](https://www.linkedin.com/pulse/social-engineering-ai-era-how-deep-fakes-ai-generated-jacqueline-p05ie)
[32]https://didit.me/zh/blog/ai-agent-liveness-detection-human-verification-ai-agents/
[33][Auth0 - Strengthening Bot Detection with JA4 Signals] (https://auth0.com/blog/strengthening-bot-detection-ja4-signals/)
[34][DataDome - How TLS Fingerprinting Reinforces Protection](https://datadome.co/engineering/how-tls-fingerprinting-reinforces-datadomes-protection/)
[35][HUMAN Security - AI Agent Detection: Guide to Identifying Autonomous Traffic](https://www.humansecurity.com/learn/blog/ai-agent-signals-traffic-detection/)
[36]https://github.com/V4bel/dirtyfrag
启明星辰积极防御实验室(ADLab)
ADLab成立于1999年,是中国安全行业最早成立的攻防技术研究实验室之一,微软MAPP计划核心成员,“黑雀攻击”概念首推者。截至目前,ADLab已通过 CNVD/CNNVD/NVDB/CVE累计发布安全漏洞7000余个,持续保持国际网络安全领域一流水准。实验室研究方向涵盖基础安全研究、电信运营商基础设施安全研究、移动终端安全研究、云安全研究、信创安全研究、物联网安全研究、车联网安全研究、工控安全研究、数据安全研究、5G安全研究、AI安全研究、卫星安全研究、低空安全研究、高级威胁研究、攻防体系建设。研究成果应用于产品核心技术研究、国家重点科技项目攻关、专业安全服务等。
