夜雨聆风点击蓝字 关注我们
一份来自英国AI安全研究所(AISI)题为《How fast is autonomous AI cyber capability advancing?》的研究报告,于2026年5月13日正式发布。它的核心结论简单而令人震颤:前沿大语言模型在执行特定网络安全任务时,自主能力的"时间窗口"每隔约4个月就翻一番。
这份报告不是预测,而是测量。它用的是真实的模型、真实的任务、真实的时间数据,而非概念推演。数字会说谎,但趋势不会。
让我们慢慢拆解这场正在发生的变革。
AISI搭建的这把"量尺"究竟量的是什么
要读懂这份报告,首先要理解AISI构建的评估框架——"时间窗口基准"。
通常,我们衡量AI的能力,习惯于用"准确率"或"成功率"来表述。但AISI的团队选择了一种更贴近现实的维度:时间。具体来说,他们关心的是:"在给定成功率的前提下,AI能在多长的时间范围内,完成与人类专家水平相当的任务?"
这被称为"时间窗口"。
为此,研究团队搭建了一套"狭窄网络安全任务套件",涵盖反向工程、漏洞利用、网页攻击等多类技能,每项任务都设置了人类专家完成时间的基准参考值。与此同时,为保证不同模型之间的可比性,每项任务限制AI的计算预算为250万个token。
举一个具体例子:AISI估计某任务需要人类专家花费约16分钟完成。在此基准下,Claude Sonnet 4.5能够以80%的成功率,在同等时间内完成这一任务。这听起来似乎只是一个数字,但当你把时间轴拉长,就会发现它背后隐藏的指数级增长曲线令人心惊。
2025年11月,AISI的估算是:80%可靠性时间窗口每8个月翻倍。
到2026年2月,这个数字压缩至4.7个月。
到2026年5月新一批模型发布后,翻倍周期再次显著缩短。
与此同时,非营利组织METR针对软件工程任务的独立基准也印证了这一趋势——软件相关任务的能力翻倍周期约为4.2个月,与AISI的网络安全基准高度吻合。
两条独立的数据曲线,指向同一个方向。
AI在模拟战场上,究竟打到了哪一步?
数字终究是抽象的。为了让AI的进步更加直观,AISI设计了两个复杂的"网络攻击靶场",模拟真实企业和工业环境中的完整攻击链。
第一个靶场:"The Last Ones"
这是一个32步骤的企业网络攻击模拟。攻击者已获得初始访问权限,任务是完成从侦察到全网接管的完整路径。人类专家估计完成全程需要约20小时。
在最新的Mythos Preview模型测试中,AI在10次尝试里成功完成了6次,平均完成22个步骤。更关键的是:这是AISI历史上首次观测到某个模型从头到尾完整通过这一攻击链。
对比来看,就在2026年2月,当时最强的Claude Opus 4.6模型,最多也只能走到22步,从未完整收尾。三个月,从"接近终点"到"全程完成",这个跨越发生得比任何人预期的都要快。
第二个靶场:"Cooling Tower"
这是一个7步骤的工业控制系统(ICS)攻击模拟,目标指向的是模拟中的电力设施控制软件。在Mythos Preview之前,没有任何模型能完整解决这一场景。而Mythos Preview在10次尝试中,成功完成了3次。
3次对10次,30%的成功率,在某些语境下听起来并不惊人。但请记住:在此之前,这个数字是零。
AISI在报告中将这一时刻称为里程碑性的:首次出现同一模型在两个不同范围内均取得突破。
值得细品的是,这些任务远非简单的脚本执行。以TLO中的关键里程碑为例,它要求AI完成:反向工程Windows服务二进制文件、访问并解密加密凭证、通过令牌伪装完成权限提升、恢复控制信道的加密密钥……每一步都需要自主规划、调试代码、处理错误、迭代推进——这些,过去是人类安全工程师的专属技能。
当然,AISI也坦诚地指出了局限:Mythos模型在真实开源项目curl中,只发现了一个经确认的漏洞。模拟靶场与真实世界之间,仍然存在巨大的鸿沟。AI在受控环境下的优势,尚不能直接等同于在复杂现实系统中的表现。
从"入门"到"专家级",只用了两年
理解这场变革的速度,需要一点历史视角。
2023年,当时最先进的大语言模型在网络安全任务上的表现,大约相当于一名刚入门的实习生——能写几行扫描脚本,能查阅CVE数据库,但面对真正的链式攻击任务,几乎无从下手。AISI的报告用了一句话精准概括:"2023年最佳模型只能勉强完成入门级挑战。"
两年后的今天,最新模型已经能够自主规划、执行并完成耗时20小时的企业网络入侵模拟。
这不是渐进式的进步,这是跨越式的飞跃。驱动这一飞跃的,是推理模型的兴起——自OpenAI o1系列、Anthropic Claude系列开始,AI从"回答问题的系统"演变为"能够多步规划的智能体"。它们可以自主调用工具、执行代码、分析日志,在一个复杂任务中持续迭代,直到找到解决方案。
技术演进的飞轮一旦开始转动,惯性就会越来越大。
这把"双刃剑",锋利到什么程度?
AISI在报告中有一句话,我认为是全文最值得反复咀嚼的:"AI网络安全能力将使攻击者更强,也将使防御者更强。"
这不是外交辞令,而是对现实的精准描述。
对攻击者而言,AI工具的扩散意味着发动渗透攻击的能力门槛正在持续降低。那些过去需要顶尖安全工程师才能执行的攻击链,未来可能被掌握了正确提示词的普通人触发。供应链攻击、无人值守的自动化入侵,将变得更加廉价和普遍。
对防御者而言,同样的技术也可以反向赋能。AI加速漏洞发现,意味着企业可以更快地修补自身系统;AI自动化安全审计,意味着小型组织也能享受过去只有大企业才能负担的安全水准。英国国家网络安全中心(NCSC)已经在着手发布相关指南,建议企业尽早投资AI辅助的漏洞管理体系。
问题在于,这场赛跑从来都不是公平的。攻击方天然具备不对称优势——他们只需要找到一个突破口,而防御方则必须守住每一道门。AI能力的扩散,可能会进一步放大这种不对称性。
对于从业人员而言,这场变革同样是一把双刃剑。一方面,重复性工作被自动化替代,专家可以从繁琐的基础审计中解放出来,聚焦于更高价值的战略判断和复杂威胁分析。另一方面,那些长期依赖"执行"而非"思考"的岗位,将面临真实的生存压力。
行业的人才需求结构将发生深刻变化:对AI工具集成能力的要求会上升,对机械执行能力的需求会下降。新职位如AI网络安全工程师、人机协作专家将逐渐成为主流。网络安全专业人才的培养体系,也需要尽快更新迭代。
我们不该忽视的"已知局限"
任何严肃的分析,都必须正视数据的边界。
AISI的基准是"窄化"的——它测量的是特定类型的自主攻击任务,并不代表AI在所有安全维度上都已达到人类专家水平。靶场场景中,初始访问权限是预先给定的,没有主动防御工具,没有触发警报的惩罚机制,与真实企业环境相比仍是高度简化的版本。
token预算限制(250万)以及简单的代理脚手架,也在一定程度上低估了AI的实际潜力。若解除限制,成功率理论上会更高——但这也意味着,我们看到的已经是"保守版"的AI。
研究者在报告中诚实地写道:"我们不知道进展速度如何演变,也不知道AI何时会跨越特定的能力门槛,或这些能力如何应用于防御真实世界系统。"
这句话的分量,不亚于所有令人惊叹的数字。
行动指南:这一刻,我们该做什么?
面对这份报告,恐慌是最无益的反应,漠视同样危险。作为在这个行业多年的观察者,我想提几点务实的思考。
对于安全从业者: 现在就开始学习如何与AI工具协同工作,而不是等待AI"逼近"再被动应对。提示工程、AI输出的批判性评估、人机协作流程的设计——这些将成为未来安全工程师的核心竞争力之一。专业纵深依然是护城河,但单纯依赖执行经验的时代正在过去。
对于企业和组织: 将AI纳入安全防御体系是必要的,但不是充分的。更重要的是构建扎实的安全基线——补丁管理、权限最小化、网络分段、日志审计,这些"基本功"在AI时代不会过时,只会更加重要。同时,认真评估AI工具在攻击面扩大方面带来的新风险,不要只看防御收益。
对于监管机构和政策制定者: AISI的研究提供了一个难得的量化参考。制定AI安全评估框架、建立AI能力阶段性报告机制、推动攻防双方的透明度提升——这些工作需要提前布局,而非在危机发生后亡羊补牢。
尾声:警钟与指南,一体两面
站在2026年的时间节点上回望,我们正处于一个奇异的历史临界点。
过去,"AI会颠覆网络安全"是一个被反复讲述却始终模糊的故事。今天,AISI用一套量化基准,把这个故事变成了一条清晰的曲线——一条每4个月就向上翻折一次的曲线。它提示我们:变化的速度,比我们以为的更快;留给我们调整的时间,比我们希望的更短。
技术的演进从来不是为了消灭人类,而是为了释放人类。网络安全,本质上是人类智识与威胁博弈的场域。AI的加入,改变了博弈的工具,但没有改变博弈的本质——守护系统、守护数据、守护人们在数字世界中的基本安全感,这仍然需要有判断力、有责任感的人来主导。
AISI的报告是一声警钟,也是一份指南。它告诉我们的不只是AI跑得多快,更是我们需要以多快的速度,重新定义自己在这个行业中的位置。
拥抱变革,构建弹性,迎接AI时代。 这不是口号,是当下最紧迫的行动纲领。
来源:安全牛
