安全从业者开始放弃自动化渗透测试?

admin 2026-07-09 06:05:43 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: Cobalt发布的《2026渗透测试现状报告》显示安全从业者正迅速放弃自主渗透测试工具,因自动化扫描器遗漏关键漏洞且误报率高。完全依赖AI测试的组织比例从29%降至9%,47%偏好混合模式。AI漏洞修复率仅38%,平均修复时间从19天升至36天。报告建议自动化应用于低风险场景,复杂漏洞仍需人类专家。 综合评分: 72 文章分类: 渗透测试,漏洞分析,ai安全,安全工具


cover_image

安全从业者开始放弃自动化渗透测试?

数世咨询

2026年7月8日 11:50 河北

在小说阅读器读本章

去阅读

本文关键看点:

1、Cobalt发布的《2026渗透测试现状报告》显示,安全从业者正在迅速放弃自主渗透测试工具,主要原因是他们未能检测到关键漏洞。

2、报告显示,自动化渗透测试在检测AI漏洞时表现很差,”这简直是灾难的配方”。

3、并非所有人都像Cobalt对自动化渗透测试持怀疑态度。亚马逊安全主管Moses表示,AI渗透测试工具使其安全团队效率提高了40%,但Moses并未明确这一数字的衡量标准。

以下正文内容基于英文原文编译,可能存在语义偏差,请以原文为准。

根据攻击性安全公司Cobalt的最新研究,大量误报和漏报已严重侵蚀了业界对自动化AI漏洞测试的信心。

Cobalt《2026渗透测试现状报告》基于2025年和2026年对约450名网络安全专业人员的两次对比调查。

研究发现,完全依赖AI自动化测试的组织比例从29%下降至9%,近一半(47%)的受访者现在更喜欢混合测试模式。

超过四分之三(78%)的受访者表示,完全自动化扫描工具遗漏了关键漏洞。

更喜欢混合模式(人类支持AI测试)的组织比例在一年内飙升了22个百分点。使用自动化进行低风险环境测试的组织比例也上升了22个百分点,达到47%。

Cobalt首席信息安全官Andrew Obadiaru表示:”虽然业界对Mythos类工具的潜力感到兴奋是正确的,但无指导算法本质上比现有自动化扫描器更容易产生更多误报和代价高昂的漏报。”

AI攻击面扩大

报告指出,对AI自动化信任下降的一个主要原因是这些扫描器正在测试的AI攻击面的复杂性。

AI渗透测试中近三分之一的发现被评定为高风险——是常规软件平均水平的2.7倍。

在分析时,不到五分之二(38%)的LLM漏洞已被修复,62%仍处于开放状态——这是所有资产类别中最低的解决率。

AI/LLM安全问题的平均修复时间(MTTR)从19天上升到36天,Cobalt称这表明团队正在追踪”比以前复杂得多的漏洞”。

Obadiaru继续说道:”LLM漏洞是高度上下文依赖的,对于缺乏应用程序架构理解的工具来说是不可见的。要缩小验证差距,自动化应该部署在它擅长的地方,但精英人类专业知识仍然是发现和修复最复杂业务逻辑风险的基础。”

在经历AI相关事件的组织中,影子AI(44%)最为常见,其次是数据或模型中毒(41%)以及输出处理不当(41%)。供应链漏洞(35%)和提示词注入(34%)位列前五威胁向量。

虽然60%的安全专业人员表示他们需要更强的LLM测试能力,但只有42%计划增加人类主导的红队运营。

* 注:图片均来源于网络,无法联系到版权持有者。如有侵权,请与后台联系,做删除处理。

— 【 THE END 】—


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:数世咨询 《安全从业者开始放弃自动化渗透测试?》

评论:0   参与:  0