——Wiz安全专家Ziad Ghalleb演讲深度解读
2025年,85%的组织已经在用AI。但同一份报告显示,13%的组织已经遭遇过AI模型被攻击的事件。AI在加速开发的同时,也在以同样的速度制造新的安全黑洞。
安全团队普遍有一种焦虑:AI让攻击者变快了,自动化漏洞扫描、AI生成的钓鱼邮件、智能化的攻击路径规划——防守方似乎永远慢半拍。
但Wiz公司高级产品营销经理Ziad Ghalleb在BrightTALK的一场27分钟演讲中,提出了一个截然不同的观点:防守方其实握有一张王牌,只是大多数人还没意识到怎么用。这张王牌叫做——上下文。
核心论点很直接:AI的强弱取决于它获得的数据和上下文,而AppSec团队恰恰坐在从代码到云的全链路上下文金矿上。谁能把这些上下文武器化,谁就能在AI安全战争中占据主动。
一、AI正在以前所未有的速度重塑攻击面
要理解防守者的优势,先得看清楚防守的对象发生了什么变化。
Wiz发布的《2025云上AI状态报告》披露了一组数据:85%的组织正在使用某种形式的AI,74%的云环境运行着AI服务,63%的组织自托管AI模型。AI已经不是"要不要用"的问题,而是"已经在用了"。

图1:AI采用率飙升与安全现实对比(数据来源:Wiz《2025云上AI状态报告》)
但与高采用率形成鲜明对比的是:13%的组织已经遭遇过AI模型攻击事件,而所有安全事件中45%是数据泄露。微软的工作趋势指数还发现,78%的AI用户会自带工具上班——这意味着大量AI使用完全游离在安全团队的视线之外,被称为"影子AI"。
Ghalleb在演讲中指出,AI加速了开发周期,但也引入了全新的攻击面。传统应用的攻击面主要是代码和依赖库;AI应用的攻击面则扩展到了模型、训练数据、推理端点、向量数据库、Agent工具链和云服务——复杂度呈指数级增长。

图2:传统应用安全与AI应用安全攻击面对比(来源:Wiz研究院)
传统AppSec假设"代码就是应用"。但在AI时代,应用等于代码加模型加训练数据加Agent工具加云服务。一个提示词注入攻击,在聊天机器人身上可能只是让它说错话;但同样的攻击打到一个拥有数据库写入权限和外部API调用能力的Agent身上,就是一次严重的数据泄露事件。
二、AI生成的代码:效率狂欢背后的安全债务
AI不仅扩大了攻击面,还在直接制造漏洞。GitHub Copilot等AI编程工具让开发效率飙升,但斯坦福大学和纽约大学的联合研究揭示了一个令人不安的事实:Copilot生成的代码中,约40%含有安全漏洞。
Sonar发布的报告更进一步:AI生成代码中60%-70%的安全漏洞属于最高严重等级(BLOCKER),90%存在代码异味。Apiiro对财富50强企业的分析发现,AI生成代码中高危漏洞(CVSS 7.0+)的出现频率是人工代码的2.5倍,权限提升路径多出322%,密钥泄露增加40%。

图3:AI生成代码的安全风险指标汇总(数据来源:Stanford/NYU、Sonar、Apiiro)
更触目惊心的是速度。Vibe Security Radar追踪的数据显示,2026年第一季度,由AI生成代码直接引发的CVE漏洞披露达到56起——仅3月一个月就有35个,超过了2025年全年的总和。AI代码的安全债务正在以比AI代码本身更快的速度积累。

图4:AI生成代码引发的CVE数量激增(数据来源:Vibe Security Radar 2026)
这些数据描绘的画面很清晰:攻击者正在获得前所未有的工具和速度。面对这种局面,防守方如果还在用老办法——出了漏洞再打补丁——只会越来越被动。
三、防守者的王牌:上下文就是力量
Ghalleb的核心论点在这里展开:AI时代,防守方并非毫无还手之力。相反,AppSec团队拥有一项攻击者无法获得的优势——深度上下文。
攻击者从外部看你的系统,只能看到暴露的端点和接口。他们不知道某个漏洞是否真的可达,不知道某个服务账号有什么权限,不知道一个配置错误背后是否连着敏感数据。而防守方坐在系统内部,能看见从代码提交到云上运行的完整链路。

图5:防守者优势模型——Code-to-Cloud五层上下文(来源:Wiz演讲)
Ghalleb将这种优势拆解为五个维度的上下文可见性:代码仓库(源码、依赖、硬编码密钥)、CI/CD流水线(构建配置、部署门禁)、云基础设施(配置错误、暴露服务、网络路径)、身份与权限(IAM角色、服务账号、访问路径)和运行时行为(提示词注入、Agent误用、数据外泄)。
关键在于:这五个维度不是孤立的。一个被标记为有漏洞的AI库,如果只是躺在代码仓库里,风险等级是中低;但如果它被部署到一个公网暴露的容器上,运行着一个拥有S3读写权限的服务账号,而S3桶里装着含PII的训练数据,且没有网络隔离——这就变成了一条可被实际利用的攻击路径,风险等级是致命的。
Ghalleb把这种跨层关联能力称为"武器化上下文"。单一维度的扫描只能产生噪音,跨维度关联才能发现真正可被利用的"毒性组合"。这也解释了为什么很多企业买了大量安全工具却依然被攻破——工具之间不连通,上下文是碎片化的。
四、AI供应链:你最薄弱的环节不在你这里
Ghalleb在演讲中花了大量篇幅讨论AI供应链安全。这是当前AI安全中最棘手、也最容易被忽视的领域。
Wiz的报告发现,68%自托管AI模型的组织通过第三方软件引入模型,18%完全依赖这种传递性组件。这意味着大多数组织的AI系统中,有一部分模型是自己完全没有审计过的——它们是某个供应商的供应商的供应商提供的。

图6:AI供应链五层风险架构(来源:Wiz研究院)
AI供应链的复杂度远超传统软件,包含五个层级,每一层都可能成为攻击入口:训练数据可以被投毒,开发环境可能被入侵,模型文件层的问题尤为隐蔽——Python的pickle反序列化格式可以在模型加载的瞬间执行任意代码,完全绕过传统SCA工具。
Wiz的研究团队已经发现了多个真实案例:ultralytics被入侵后注入加密挖矿代码;DeepSeek数据库配置错误导致聊天记录泄露;NVIDIA的AI基础设施漏洞CVE-2024-0132影响了超过35%的云环境。
Ghalleb的应对策略是"AI物料清单"(AI-BOM)——像食品包装上的成分表一样,把AI系统中每一个模型、数据集、SDK、Agent配置和依赖关系全部列出来。只有先知道自己在用什么,才能判断风险在哪里。
五、三个关键行动:从可见性到自动化
Ghalleb在演讲后半段展示了Wiz的现场Demo,并传递了三个可落地的行动方向。
行动一:发现影子AI,消除盲区
你无法保护你看不见的东西。数据科学家随手在Vertex AI或SageMaker上开一个带公网IP的实验环境,安全团队可能完全不知道它的存在。Ghalleb强调,无代理的云原生发现能力是AI安全的第一块基石——通过云API自动扫描所有AI服务、模型端点和训练环境,不需要在每个工作负载上安装代理。
行动二:映射真实可利用性,而非堆砌告警
传统安全工具的通病是产生海量告警,但大部分告警对应的漏洞在实际环境中根本无法利用。Ghalleb的方法是把代码扫描结果与云基础设施姿态、身份权限和数据敏感性关联起来,计算出真正的攻击路径。一个漏洞只有在可达、有权限、连着敏感数据时才值得优先处理。上下文决定优先级,这把安全团队从告警疲劳中解放出来。
行动三:以机器速度自动化修复
攻击者用AI加速攻击,防守方也必须用AI加速修复。Ghalleb在Demo中展示了Wiz如何自动发现暴露的推理端点,并在发现后自动触发修复流程,无需人工介入。从发现问题到修复完成,时间从天级压缩到分钟级。
发现一切(可见性)→ 判断什么真正危险(上下文关联)→ 自动修复(机器速度)
六、四个常见误区:为什么很多AI安全项目失败了
误区一:把AI安全当作纯模型问题。很多团队只关注模型行为,却忽视了云基础设施、身份层和数据管道——而这些恰恰决定了任何模型级漏洞的实际爆炸半径。
误区二:用基于代理的工具覆盖临时AI工作负载。AI训练任务可能瞬间拉起数千个GPU实例,几小时后又全部销毁。需要在每个工作负载上安装代理的传统安全工具,根本跟不上这种节奏。
误区三:代码扫描和云扫描各做各的,不做关联。不做跨域关联,团队就无法区分致命问题和噪音。
误区四:忽视Agent层的安全。组织花了大量精力保护模型和基础设施,却忽视了Agent的工具权限、MCP服务器配置和自主决策边界。而Agent层正是当前AI安全中增长最快的缺口。
结语:上下文即权力
Ghalleb的这场27分钟演讲,传递的核心信息可以浓缩成一句话:在AI安全时代,谁拥有最完整的上下文,谁就拥有最大的优势。
攻击者有速度,有自动化工具,有AI加持。但攻击者从外部看系统,永远是盲人摸象。而防守方坐在系统内部,能看见从代码提交到CI/CD到云上部署到运行时行为的完整链路。
但优势不是自动生效的。如果代码扫描工具和云安全工具各做各的,如果AI工作负载的发现还靠人工登记,如果漏洞修复还需要走工单流程——那这份优势就只是理论上的。
真正的优势,来自于把这五个维度的上下文打通、关联、武器化,然后以机器速度驱动发现和修复。做到这一点的团队,不再是被动挨打的猎物,而是掌控全局的猎人。
AI时代的安全战争,攻防双方都有AI。但最终决定胜负的,不是谁的AI更强,而是谁喂给AI的上下文更完整、更准确、更及时。
上下文即权力。而这份权力,本就在防守方手中。
演讲信息
标题:The Defender's Advantage: How AppSec is Built to Win in the AI Era
讲者:Ziad Ghalleb, Senior Product Marketing Manager, Wiz
平台:BrightTALK Wiz Channel | 时长:27分钟 | 日期:2026年
——完——
夜雨聆风