文章总结: 本文探讨了AI技术对安全攻防领域的深刻变革。文章指出,AI正从辅助工具转变为能够持续推进任务的工程对象,开始参与漏洞发现与生产流程,并通过ProjectNaptime、BigSleep等项目以及DARPA、腾讯云等机构的竞赛得到验证。同时,文章结合工业革命等历史案例,分析了AI如何改变行业格局,即压缩重复性任务,抬高剩余任务的技能要求,并可能引发岗位任务和协作关系的重构。最后得出结论,AI已足以改写中低难度安全任务的生产方式,但在复杂环境下的长链路推理、错误恢复等方面仍存在短板。 综合评分: 85 文章分类: AI安全,网络安全,渗透测试,WEB安全,逆向分析
AI时代下对安全攻防演进的思考(上篇)
漏洞战争
2026年7月9日 18:02 广东
在小说阅读器读本章
去阅读
编者荐语:
5 月份,我写的一篇文章,个人对于安全攻防演进的思考,发表在公司内部。后来,该文章经华为安全响应中心转载到外网,被拆分成3篇,转了2个月才转完,也是不容易啊!怎么自己也得转发下。
以下文章来源于华为安全应急响应中心 ,作者riusksk
华为安全应急响应中心 .
华为安全应急响应中心(HUAWEI PSIRT)官方公众号。
引言
过去相当长的一段时间里,安全攻防工作的基本现实是:高质量漏洞挖掘、稳定漏洞利用与复杂逆向分析,都高度依赖少数经验密集型研究员。无论是大规模代码理解、崩溃归因、利用链设计,还是样本行为复原和保护壳突破,背后都需要较高的人工投入与长期训练。因此,企业的漏洞响应节奏、安全团队分工乃至外包服务定价,实际上都默认建立在“高级研究能力稀缺”这一前提之上。
这一前提正在松动。2024年6月,Google Project Zero 发布 Project Naptime,公开展示了大模型结合代码浏览、调试、验证工具后,在漏洞研究任务中的潜力[1]。同年11月,Big Sleep 进一步披露其在 SQLite 中发现了此前未知、具有利用价值的现实世界内存安全漏洞[2]。2025年7月,Google 又宣布相关系统已能结合威胁情报,在漏洞进入在野利用链之前完成前置识别[3]。2026年4月,Anthropic 通过 Project Glasswing 与 Claude Mythos Preview 把同一问题推进到更敏感的位置:模型不只是作为实验对象被评测,而是开始被有选择地引入关键软件和基础设施的防御流程[4][5]。
如果这些进展只是个别样例,它们的行业意义有限;但当类似能力同时出现在真实代码库、厂商防御合作、国家级竞赛与公开 benchmark 中时,就已经不宜再被视作零散演示。真正值得追问的,其实有三个问题:
- AI 到底改变Web 安全、Pwn 与逆向工程中的哪些工作环节(因为web/pwn/reverse是安全攻防三大核心领域,AI对安全攻防的影响必然会优先在三大领域中体现)?
- 这种变化对企业、安全人员与行业发展意味着什么?
- 未来三到五年,安全攻防的重心又会沿着什么方向迁移?
本文是《AI时代下对安全攻防演进的思考》系列文章的第一篇,本系列将分为三篇系统阐述AI技术对安全攻防领域带来的深刻变革。本篇将重点探讨AI在安全攻防领域的现状与基础能力,后续两篇将分别深入分析三大核心领域的结构性重塑以及深远影响与未来展望。
从汽车、织机到 ATM:技术革命如何改写安全攻防
汽车刚出现时,问题并不只是“谁会开车”,而是整个道路系统都没准备好。美国联邦公路管理局(Federal Highway Administration,FHWA)回顾过那段历史:二十世纪初,美国不少道路上的指示牌由不同汽车俱乐部分散设置,在部分主要路线中,单一路线甚至可能同时出现11种不同标识;之后才逐步形成中心线、红绿灯、停车标志以及统一交通控制手册(MUTCD)这样的标准体系[7]。这段历史的关键不在汽车本身,而在它说明了一件事:一项工具能力越过阈值之后,最先暴露出来的,往往不是个人是否足够努力,而是接口不统一、规则不清晰、责任不可追溯、基础设施跟不上。
这也是今天讨论 AI for 安全攻防时最容易被忽略的地方。围绕 AI 的讨论,常见的两种偏差恰好相反:一种把少数高光案例直接外推成全面替代,另一种则把部分任务自动化直接理解成职业失去价值。两种看法都太急着讨论“工具会不会替代人”,却没有关注到历史长河中相似事件所反映出的关键现象:历史上真正改变行业格局的,往往不是某个新工具本身,而是围绕它发生的一整套流程、标准、分工和责任重写。
职业结构的变化也遵循同样的逻辑。美国劳工统计局(Bureau of Labor Statistics,BLS)关于职业变迁的研究,以及其后对 1860 年到 2015 年美国职业结构的回顾,都指出技术扩散带来的不是岗位线性消失,而是职业构成和任务重心的持续迁移[6][25]。BLS 的表述很直接:企业一旦采用新技术、开发新产品或改变经营方式,职业结构也会跟着变化[25]。换句话说,技术革命真正改写的,通常不是岗位名字,而是岗位内部的任务组合、所需技能,以及与其他岗位的协作关系。
工业革命和信息革命里的很多例子都能说明这一点。十九世纪动力织机把每码布所需劳动量压缩了 98%,但织工岗位并没有因此简单消失;随着布匹价格下降、需求扩大,以及多台织机协同管理等新技能的重要性上升,织工岗位反而增加[27]。自动取款机普及之后,银行柜员的人均现金处理工作减少了,但岗位并没有像很多人预想的那样被整体抹掉;柜员反而从单纯办业务转向关系维护、产品销售和更复杂的人机协作任务[27]。这就是 “杰文斯悖论”:在技术进步提高资源利用效率时,该资源的使用成本下降,反而刺激需求大幅扩张,导致资源总消耗量不降反升的现象。历史反复提醒我们的,不是“技术不会替代工作”,而是“技术很少按最直线的方式替代工作”。它更常见的路径,是先压缩一部分重复性任务,再抬高剩余任务对理解、协调和判断的要求。
还有一层常被低估的变化:通用技术的价值,往往要靠配套重构才能兑现。美国国家经济研究局(National Bureau of Economic Research,NBER)关于美国制造业电气化的研究发现,电力带来的生产率提升并不是孤立发生的,而是迅速伴随着资本深化和组织结构调整[26]。另一篇关于通用技术的经典研究则指出,蒸汽机、电动机、半导体和计算机这类技术的收益不会自动落地,它们依赖下游行业的配套创新和组织重构;如果两端之间只有松散的市场交易关系,创新往往会来得太慢、太晚[28]。放到今天,单纯问“模型强不强”其实是不够的,更关键的问题是:组织有没有准备好围绕这种能力重写流程。
沿着这条历史线再看今天的安全攻防,很多变化就没有那么难理解了。AI 带来的不会只是“多一个更强的扫描器”或“少几个初级岗位”,而是整个安全生产方式的重排:哪些漏洞会先失去稀缺性,哪些验证与修补环节会成为瓶颈,哪些工具会从“给人用”转成“给 AI 调用”,以及企业为什么必须重写授权、审计、回滚和责任链条。也正因为如此,后文才需要分别讨论 Web 安全、Pwn 与逆向工程:这三类方向代表了三种很不一样的任务形态,也最能看清 AI 会先在哪里形成规模收益,又会在哪里被复杂性和对抗性重新拉高门槛。
AI 自动攻防的现实进展:从能力演示到工程对象
AI 在安全领域中最关键的变化,不是模型回答安全问题时听起来更像人类专家,而是它开始在工具链与交互环境的支持下,成为能够持续推进任务的工程对象。Project Naptime 的意义正体现在这里。Google 并未把模型当成一个孤立问答器,而是把它放进带有代码检索、调试、验证和多轨采样的环境中[1]。这一点十分重要,因为安全研究从来不是一次性求解,而是围绕假设提出、证据收集、结果验证和错误修正的反复循环。模型一旦具备这类工作脚手架,它的能力表现就不再主要取决于“会不会答对”,而更多取决于能否在反馈中持续推进。
Big Sleep 则把这一能力第一次较清楚地拉进现实软件。Google 2024年11月披露的 SQLite 案例,并不是对已知漏洞的机械复述,而是围绕真实代码变更做进一步挖掘,最终发现此前未知、具有利用价值的缺陷[2]。2025年7月,Google 又宣称其系统已能结合威胁情报,对即将进入在野利用阶段的漏洞做前置识别[3]。无论这些案例未来是否还能大规模复现,它们已经说明:AI 参与漏洞发现的讨论,至少应当从“能不能做演示”转向“能否稳定进入现实流程”。
Anthropic 的一系列披露则把问题进一步推进到“能力治理”的层面。Project Glasswing 的核心不只是展示模型能力,而是讨论更强的挖洞能力是否应当优先部署到关键软件与基础设施防御中[4]。Claude Mythos Preview 作为配套模型,则在厂商自评框架下展示了模型在部分0day挖掘与利用任务上的能力跃迁[5]。与此同时,Anthropic 还专门发布了AI发现漏洞的协调披露原则,说明其已将模型能力视作可能影响传统 CVD(Coordinated Vulnerability Disclosure,协调漏洞披露)机制的现实变量[20]。这些披露当然带有明确的厂商立场,但若将其与 Google 的路线、DARPA 的长期计划以及竞赛评测的发展放在一起观察,其共同指向已经相当明确:AI在安全中的角色,正在从“辅助说明问题”走向“参与生产问题发现结果”。
竞赛与 Benchmark 为这种判断提供了更稳的外部支撑。DARPA 从 Cyber Grand Challenge 到 AIxCC,持续十余年推动自动发现与自动修补的路线[9][10];Anthropic 2025 年关于 Cyber Competitions 的披露则表明,模型在中等难度竞赛中已足以接近不少人类选手,但在最高难度题目上仍暴露明显短板[11]。国内的腾讯云智能渗透挑战赛,则进一步显示多智能体渗透、自动利用与评测框架已成为可组织、可复现的工程方向[8][24],赛制也从单点解题推进到双线并行的更接近真实攻防的模式:一条赛线要求智能体围绕信息收集、漏洞发现、利用执行和权限维持完成长链路渗透;另一条赛线则把智能体放入信息不对称、多主体互动和提示词对抗环境中,考察其协作、博弈与上下文管理能力[24]。环境设计同时引入真实 CVE、云安全缺陷和 AD 域渗透拓扑,这一点尤其重要,因为它让比赛不再只是“能不能答出一道题”,而更接近“能不能在复杂环境里把任务推进下去”。
更重要的是,这类比赛带来的价值并不只是展示 AI 会什么,更在于暴露 AI 还不会什么。从外部对比赛的复盘信息看,和首届相比,智能体在半年内已经从单一漏洞利用迈向全流程渗透尝试,整体表现接近初级渗透测试人员;但与此同时,复杂环境下的控场能力、长链路推理、路径回溯、错误恢复、记忆管理和环境清理,依旧是反复暴露出来的短板[24]。这意味着当前 AI 在攻防中的主要问题,并不是“完全做不到”,而是经常在局部环节看似可用,却难以把完整攻击链稳定打通。也正因此,AI 安全能力今天所处的位置并不是“已经统治高难度攻防”,而是“已经足以改写大量中低难度任务的生产方式,同时也在真实场景中暴露出新的系统性瓶颈”。
小结
本文回顾了AI在安全攻防领域从概念演示迈向工程应用的关键进展。这些能力具体将如何重塑Web安全、Pwn与逆向工程这三大核心战场?基础漏洞是否会批量消失?攻防的稀缺能力又将向何处迁移?我们将在《AI时代下对安全攻防演进的思考(中篇)》深入解析各领域面临的挑战与机遇。
参考文献
- Google Project Zero,Project Naptime: Evaluating Offensive Security Capabilities of Large Language Models,2024-06-20。https://projectzero.google/2024/06/project-naptime.html
- Google Project Zero,From Naptime to Big Sleep: Using Large Language Models To Catch Vulnerabilities In Real-World Code,2024-11-01。https://projectzero.google/2024/10/from-naptime-to-big-sleep.html
- Google,A summer of security: empowering cyber defenders with AI,2025-07-15。https://blog.google/innovation-and-ai/technology/safety-security/cybersecurity-updates-summer-2025/
- Anthropic,Project Glasswing: Securing critical software for the AI era,2026-04-07。https://www.anthropic.com/glasswing
- Anthropic Frontier Red Team,Claude Mythos Preview,2026-04-07。https://red.anthropic.com/2026/mythos-preview/
- U.S. Bureau of Labor Statistics,Occupational changes during the 20th century,2006-03。https://www.bls.gov/opub/mlr/2006/article/occupational-changes-during-the-20th-century.htm
- Federal Highway Administration,The Evolution of MUTCD。https://mutcd.fhwa.dot.gov/kno-history.htm
- 腾讯云黑客松官网;腾讯云开发者社区《400+极客菁英共聚羊城,见证国内首个AI智能渗透挑战赛》。https://tch.cloud.tencent.com/ ;https://cloud.tencent.com/developer/article/2651925
- Defense Advanced Research Projects Agency (DARPA),AIxCC: AI Cyber Challenge;AI Cyber Challenge marks pivotal inflection point for cyber defense。https://www.darpa.mil/research/programs/ai-cyber ;https://www.darpa.mil/news/2025/aixcc-results
- Defense Advanced Research Projects Agency (DARPA),Cyber Grand Challenge (CGC)。https://www.darpa.mil/research/programs/cyber-grand-challenge
- Anthropic Frontier Red Team,Claude is competitive with humans in (some) cyber competitions,2025-08-09。https://red.anthropic.com/2025/cyber-competitions/
- National Institute of Standards and Technology (NIST),Artificial Intelligence Risk Management Framework: Generative Artificial Intelligence Profile,2024-07-26。https://www.nist.gov/publications/artificial-intelligence-risk-management-framework-generative-artificial-intelligence
- Open Worldwide Application Security Project (OWASP) GenAI Security Project,OWASP Top 10 for LLM is now the GenAI Security Project and promoted to OWASP Flagship status,2025-03-26。https://genai.owasp.org/2025/03/26/project-owasp-promotes-genai-security-project-to-flagship-status/
- Anthropic Frontier Red Team,Partnering with Mozilla to improve Firefox’s security,2026-03-06。https://red.anthropic.com/2026/firefox/
- Hanzhuo Tan, Qi Luo, Jing Li, Yuqun Zhang,LLM4Decompile: Decompiling Binary Code with Large Language Models,EMNLP 2024。https://aclanthology.org/2024.emnlp-main.203/
- Anton Tkachenko, Dmitrij Suskevic, Benjamin Adolphi,Deconstructing Obfuscation: A four-dimensional framework for evaluating Large Language Models assembly code deobfuscation capabilities,2025。https://arxiv.org/abs/2505.19887
- Abraham Clements et al.,Towards LLM-Resistant Software Protection: Agent Failure Patterns in CTF Reverse Engineering,NDSS BAR 2026。https://www.ndss-symposium.org/ndss-paper/auto-draft-657/
- Cybench: A Framework for Evaluating Cybersecurity Capabilities and Risks of Language Models。https://cybench.github.io/
- BountyBench: Dollar Impact of AI Agent Attackers and Defenders on Real-World Cybersecurity Systems。https://bountybench.github.io/
- Anthropic,Coordinated vulnerability disclosure for Claude-discovered vulnerabilities,最后更新于 2026-03-06。https://www.anthropic.com/coordinated-vulnerability-disclosure
- Node.js Project,New HackerOne Signal Requirement for Vulnerability Reports,最后更新于 2026-02-19。https://nodejs.org/en/blog/announcements/hackerone-signal-requirement
- HackerOne,Code of Conduct。https://www.hackerone.com/policies/code-of-conduct
- Daniel Stenberg,The end of the curl bug-bounty,2026-01-26。https://daniel.haxx.se/blog/2026/01/26/the-end-of-the-curl-bug-bounty/
- 前沿观察 赛事纪实:从腾讯云黑客松,洞见智能体时代的攻防新格局,2026-04-17。https://mp.weixin.qq.com/s/f94uaYgqiSSx-3Vz0kP4_Q
- U.S. Bureau of Labor Statistics,Changes in the U.S. occupational mix from 1860 to 2015,2019-08。https://www.bls.gov/opub/mlr/2019/beyond-bls/changes-in-the-us-occupational-mix-from-1860-to-2015.htm
- Martin Fiszbein, Jeanne Lafortune, Ethan G. Lewis, José Tessada,Powering Up Productivity: The Effects of Electrification on U.S. Manufacturing,National Bureau of Economic Research (NBER) Working Paper 28076,2020;2024-04 修订。https://www.nber.org/papers/w28076
- James Bessen,Toil and Technology,International Monetary Fund (IMF) Finance & Development,2015-03。https://www.imf.org/external/pubs/ft/fandd/2015/03/bessen.htm
- Timothy F. Bresnahan, Manuel Trajtenberg,General Purpose Technologies “Engines of Growth?”,National Bureau of Economic Research (NBER) Working Paper 4148,1992-08。https://www.nber.org/papers/w4148
系列连载未完待续,下篇敬请期待。
本公众号发布、转载的文章所涉及的技术、思路、工具仅供学习交流,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!
点这里 关注我们,一键三连~
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:漏洞战争 《AI时代下对安全攻防演进的思考(上篇)》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论