AI时代下对安全攻防演进的思考(中篇)

admin 2026-07-10 05:44:12 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: AI正推动安全攻防进入基础问题工业化、复杂问题上移的新阶段。Web安全领域,基础漏洞(如XSS、越权)将被AI批量发现,但业务逻辑与AI原生应用风险成为新难点。Pwn领域呈现前半段自动化(漏洞挖掘、PoC生成)与后半段高手化(稳定利用、缓解绕过)并存的趋势。逆向工程中,分析自动化显著提升,但虚拟机保护、控制流平坦化等抗分析技术将加剧攻防对抗。企业需重新设计验证、补丁与责任链条以应对挑战。 综合评分: 89 文章分类: AI安全,WEB安全,二进制安全,逆向分析,红队


cover_image

AI时代下对安全攻防演进的思考(中篇)

漏洞战争

2026年7月9日 18:02 广东

在小说阅读器读本章

去阅读

以下文章来源于华为安全应急响应中心 ,作者riusksk

华为安全应急响应中心 .

华为安全应急响应中心(HUAWEI PSIRT)官方公众号。

引言

在《AI时代下对安全攻防演进的思考(上篇)》中,我们看到了AI正成为安全攻防链条中不可忽视的工程力量。本篇将聚焦于此轮变革的核心地带——Web安全、Pwn与逆向工程,探讨AI如何重排这些领域的任务成本与能力门槛。

Web 安全:从基础漏洞工业化到 AI 原生应用风险

在三大方向中,Web 安全最可能率先发生结构性变化。原因并不复杂:它的输入输出边界相对清晰,反馈速度快,工具链成熟,且大量常见问题具有较强模式性。参数注入是否成功、鉴权是否可绕、回显是否异常、服务端是否触发外联,很多时候只需数轮请求就能得到明确反馈。对人类研究员而言,这意味着密集的重复劳动;对具备脚本生成、上下文记忆与工具调度能力的模型而言,这更像一个适合并行展开的自动循环。

已发生的事实首先来自厂商一手披露。2025年6月。基于AI驱动的自主渗透测试工具 XBOW 成功登上全球知名漏洞赏金平台 HackerOne 美国排行榜榜首,这是AI系统首次在主流漏洞披露平台上超越人类,标志着网络安全领域的一大里程碑。这些说法不能被直接等同于行业共识,但至少说明:面向真实软件的自动化漏洞发现,已经不再停留在“帮忙写 PoC”或“辅助扫接口”的层面。对 Web 安全而言,这一点尤其敏感,因为浏览器、Web 引擎、网络服务与开放接口本来就是最适合反复探测和验证的对象。

比赛与评测则提供了另一个观察窗口。腾讯云智能渗透挑战赛的公开材料显示,多数参赛方案都把大模型放进多智能体渗透链条之中,用于资产理解、路径探测、工具调度和结果验证。相关报道还提到,基于 XBOW Benchmark 的 104 个漏洞环境中,XSS、默认密码和越权问题占比较高;有队伍将多智能体方案的成功率从 50% 提升到 58.2%[8]。这些数据当然不能直接代表真实企业环境,却足以说明一个趋势:越是模式清晰、反馈明确、验证成本低的基础 Web 问题,越容易被 AI 批量吞掉。

由此带来的第一个变化,是基础 Web 漏洞会更快暴露,也更快失去稀缺性。过去很多常见问题之所以长期留在系统里,并不完全因为它们隐藏得深,而是因为人工测试产能有限、资产面太散、排查成本过高。AI 介入后,最先贬值的正是这类“低语义、强模式”的漏洞,包括参数污染、简单注入、低阶越权、默认配置、弱口令,以及回显明确的 SSRF 和 XSS 变体。对攻击方而言,发现和利用这类问题的成本还会继续下降;对企业而言,侥幸缓冲期只会越来越短。

不过,Web 安全并不会因此变得简单,难点只会继续上移。更值钱的部分,将越来越集中在复杂业务逻辑、跨身份边界、多步骤状态切换与信任链组合问题上。优惠券能否叠加、审批流如何回滚、租户边界能否跨越、供应链回调是否可被伪造,这些问题不只是“有没有洞”,更是“系统到底怎么运转、如何授权、责任如何落定”。AI 可以非常高效地撞开很多门,但未必知道哪一扇门背后才是业务的核心利益。但是随着LLM能力的提升,这类业务逻辑漏洞也会慢慢地被自动找出来的,相信这是早晚的事,还有就是业务知识文档的补充,也能在LLM知识不足的情况下,提升LLM对业务逻辑的理解深度,从而进一步挖掘深层次的业务逻辑漏洞。

当前还存在更大的变化,Web 应用本身正在迅速演化为 AI 应用。开放式 Web 应用安全项目(Open Worldwide Application Security Project,OWASP)的 GenAI Security Project 已将 Agentic App Security、Red Teaming & Evaluation、数据安全与治理列为独立方向;美国国家标准与技术研究院(National Institute of Standards and Technology,NIST)的《Generative AI Profile》也强调,生成式 AI 的风险管理必须贯穿设计、开发、使用与评估全过程[12][13]。落到 Web 体系中,这意味着安全对象正在从“请求、响应、数据库”扩展到“提示词、上下文、检索数据、工具权限以及模型驱动的动作链”。过去重点防守的是 XSS、CSRF、SSRF、越权;接下来还必须同时面对 prompt injection、tool abuse、上下文污染、跨插件信任边界失守与代理越权执行。也正因此,未来两三年Web 安全最明显的变化,未必只是技术手段更新,而是“发现漏洞、理解漏洞、处理漏洞”的整套节奏被重新定义。

Pwn:前段自动化与后段高手化并存

Pwn 领域真正发生变化的,不是“模型会不会一把打穿系统”,而是漏洞研究流程正在被重新切段。就目前公开材料看,AI 最先接管的不是终局利用,而是前面的漏洞挖掘、variant analysis、崩溃归因、PoC 生成和补丁回归检查;难的部分,仍然是把一个 bug 稳定、低成本、跨环境地变成任意的控制能力。

从公开披露来看,Google Project Naptime 在 2024 年已经明确展示出一个很有现实意义的方向:围绕已知补丁、崩溃和代码上下文持续做 variant analysis[1]。这意味着 Pwn 中最耗时间的前置劳动正在被压缩。Big Sleep 进一步把这一方向推到真实代码库。2024 年 11 月,Project Zero 披露其在 SQLite 中发现了此前未知、可利用的内存安全漏洞,并在发布前完成报告与修复;到2025 年 7 月,Google 又称相关系统已能结合威胁情报,提前拦截即将进入在野利用阶段的漏洞[2][3]。这些说法仍属于厂商一手材料,外部难以完全复核,但至少揭示出一个越来越清楚的趋势:从补丁线索到可利用变种的时间窗正在缩短。

Anthropic 的披露把能力边界说得更具体。根据其 2026年3月与 Mozilla 的公开合作材料,Claude 在大规模 C++ 代码中提交了 112 份唯一报告,其中22个被认定为漏洞,14个为高危;但在利用侧,只有极少数尝试被转成可运行 exploit,而且成立条件是刻意削弱防护的测试环境[14]。Claude Mythos Preview 进一步展示了模型在 Linux 内核 N-day 筛选、漏洞串联和本地提权上的跃迁,同时也承认远程触发、真实缓解机制和复杂环境适配仍是明显短板[5]。将这几份材料合在一起看,AI 在 Pwn 中更擅长的是“找、读、试、归纳”,弱项仍然是“稳、深、通杀”。

因此,Pwn 的未来更像“前半程工业化,后半程继续高手化”。漏洞挖掘、变体分析、PoC 生成、patch validation,非常适合交给 AI 做高通量筛查;缓解绕过、堆布局塑形、竞态利用、跨环境适配和链式提权,仍然高度依赖研究员对体系结构、编译器与运行时语义的把握。对企业而言,这意味着补丁响应、回归验证、sanitizer 部署和 memory-safe 迁移会比以往更重要;对研究员而言,稀缺能力会进一步上移到利用面判断、验证路径设计和复杂 exploitation 上。从Anthropic 博客上提到的 Firefox 漏洞利用事件上看,AI也正在尝试蚕食pwn的后半程研究,只不过当前还没达到通用稳定、全自动、普及化的程度,研究员在后半程高手化的持续时间也许不会太久。

逆向工程:分析自动化与抗分析保护的相互抬升

如果说 Web 安全最先感受到的是“基础漏洞被批量吞掉”,那么逆向工程感受到的,更多是一种分析方式本身的改写。过去做逆向,最耗时间的往往不是最后那一下定性判断,而是前面那一长串脏活:整理反汇编结果、补函数语义、切换 Ghidra、IDA、调试器和脚本、追踪可疑分支、抽取配置、猜测协议字段。过去两年里,一个可以确认的事实是,大模型已经开始显著压缩这部分前置工作。它不只是把汇编翻成更像 C 的伪代码,更开始围绕分析目标组织工具、生成脚本、归纳局部语义,再把这些碎片拼成一份初步可读的理解框架。

这方面最有代表性的工作之一,2024年EMNLP的《LLM4Decompile》。这项研究讨论的不是“AI 会不会写代码”,而是二进制反编译能否从传统工具生成的低可读、低可执行伪代码,迈向更接近源码层面的恢复结果。论文给出的结论是,在其设定的 HumanEval 和 ExeBench 基准上,专门训练的模型在可执行性和可读性上明显优于 Ghidra 和通用模型[15]。这当然不能直接外推成“现实世界中的复杂二进制已经可以被稳定自动还原”,因为论文环境仍是受控评测;但它至少说明,逆向工程中长期被视作纯手工活的“语法恢复”和“局部语义修补”,已经开始出现可重复的模型收益。

比单点反编译能力更值得注意的,是围绕逆向任务的工具编排能力。模型一旦接上反汇编器、调试器、字符串提取器、沙箱和脚本执行环境,它做的就不再只是“翻译”汇编,而会进入一个更像分析员的循环:定位入口和关键 API,决定先静态看调用链还是先跑起来抓行为,遇到字符串加密就先解一层,遇到配置块就尝试提取结构。恶意代码分析因此最先受益。对中低复杂度样本而言,AI 完全可能在较短时间内完成家族初筛、配置提取、通信逻辑粗分和可疑函数定位,把原本需要资深分析员花数小时完成的整理工作压缩掉大半。

但逆向工程与 Web 测试、代码审计有一个根本差别:它面对的对象往往不是“自然形成的复杂性”,而是“刻意制造的不可读性”。2025年的《Deconstructing Obfuscation》给出了一个重要边界。作者评估了多种商业模型在汇编去混淆任务中的表现,发现模型面对低强度噪声并非完全无能,但一旦进入控制流平坦化、指令替换,尤其是多种混淆技术叠加的场景,性能会明显下滑。论文总结出的失败模式也很典型,包括谓词误判、控制流映射错误、算术变换理解偏差和常量传播失真[16]。换句话说,模型并不是“看不懂汇编”,它更常见的问题是:会给出一套表面自洽、局部合理、但在整体执行语义上站不住的解释。

这正是为什么虚拟机保护、控制流平坦化、动态解密、反调试和环境绑定在 AI 时代反而会变得更重要。它们的价值,从来不只是把人工分析拖慢,而是切断语义连续性,让分析者无法轻易把局部模式拼成完整逻辑。对 LLM 来说,这类保护尤为致命,因为模型的优势往往建立在“模式可识别、上下文可延展、局部语义能稳定累积”这几个前提上。一旦执行路径被拆碎、关键常量运行时生成、核心逻辑被藏进自定义虚拟机,模型就很容易陷入一种危险状态:它仍能生成流畅解释,但解释越来越像伪语义,而不是程序真正执行的语义。

NDSS BAR 2026 的《Towards LLM-Resistant Software Protection》又将这一问题往前推了一步。严格地说,这类研究更多是在 CTF 逆向题环境中观察 agent 的失败模式,还不能直接当作产业结论;但其释放出的信号已经非常清晰:未来的软件保护,很可能会开始有意识地针对 AI agent 的弱点进行设计,而不只是针对人类分析员[17]。如果把这些事实和论文结论放在一起看,一个相对稳妥的趋势判断是:逆向工程不会因为 AI 变强而迅速失去专业性,它更可能出现明显分化。一端是入门和中段分析被显著加速,样本分流、配置提取、基础反编译、常规恶意代码初筛越来越自动化;另一端则是保护工程、去混淆、动态行为复原和最终定性判断变得更加值钱。逆向工程因此很可能成为 AI 时代最早出现新军备竞赛特征的安全子领域之一。

跨领域迁移:漏洞类型、防守重心与组织能力重排

将 Web 安全、Pwn 与逆向工程放在一起观察,可以看到一个相当一致的结构性变化: AI 最先吞掉的,往往不是最复杂的问题,而是那些可以被表达、可以被验证、可以被批量搜索的问题。模式性强、反馈短、工具成熟的任务,会优先进入自动化扩张区;需要复杂上下文、长期试错、强责任判断和高对抗性的任务,则会进一步成为稀缺能力。

这意味着基础漏洞不会消失,但会更早暴露、更快被利用,也会更快失去稀缺性。对于攻击者而言,进入门槛在下降;对于防守者而言,侥幸拖延的空间在收缩。相应地,高价值问题会向更复杂的层次迁移:Web 领域向业务逻辑、身份边界和 AI 原生应用调用链迁移,Pwn 领域向稳定利用、缓解绕过与环境适配迁移,逆向领域向混淆保护、动态行为理解与抗分析工程迁移。

还要看到,组织能力的重心也在改变。过去安全团队常把大量资源投入在“找到更多问题”上;未来更关键的问题可能是,如何在 AI 不断扩大问题发现规模的同时,维持足够快的 triage、复现、修补、回归、上线和审计节奏。如果没有后续流程支撑,再强的发现能力最终也只会演变为告警洪水。也正因此,AI 对安全攻防的真正冲击,并不是工具层面的单点替代,而是迫使企业重新设计验证、授权、补丁、日志和责任链条。

小结

      AI正在将安全攻防推向“基础问题工业化,复杂问题上移”的新阶段。当发现问题的能力被极大增强后,真正的挑战随之而来:企业、安全人员乃至整个行业,应如何应对这场系统性变革?未来的竞争格局将如何演变?《AI时代下对安全攻防演进的思考(下篇)》将继续分析。

参考文献

  1. Google Project Zero,Project Naptime: Evaluating      Offensive Security Capabilities of Large Language Models,2024-06-20。https://projectzero.google/2024/06/project-naptime.html
  2. Google Project Zero,From Naptime to Big Sleep: Using      Large Language Models To Catch Vulnerabilities In Real-World Code,2024-11-01。https://projectzero.google/2024/10/from-naptime-to-big-sleep.html
  3. Google,A summer of security: empowering cyber defenders      with AI,2025-07-15。https://blog.google/innovation-and-ai/technology/safety-security/cybersecurity-updates-summer-2025/
  4. Anthropic,Project Glasswing: Securing critical software for      the AI era,2026-04-07。https://www.anthropic.com/glasswing
  5. Anthropic Frontier Red Team,Claude Mythos Preview,2026-04-07。https://red.anthropic.com/2026/mythos-preview/
  6. U.S. Bureau of Labor Statistics,Occupational changes during the      20th century,2006-03。https://www.bls.gov/opub/mlr/2006/article/occupational-changes-during-the-20th-century.htm
  7. Federal Highway Administration,The Evolution of MUTCD。https://mutcd.fhwa.dot.gov/kno-history.htm
  8. 腾讯云黑客松官网;腾讯云开发者社区《400+极客菁英共聚羊城,见证国内首个AI智能渗透挑战赛》。https://tch.cloud.tencent.com/ ;https://cloud.tencent.com/developer/article/2651925
  9. Defense Advanced Research Projects      Agency (DARPA),AIxCC:      AI Cyber Challenge;AI Cyber Challenge marks      pivotal inflection point for cyber defense。https://www.darpa.mil/research/programs/ai-cyber ;https://www.darpa.mil/news/2025/aixcc-results
  10. Defense Advanced Research Projects      Agency (DARPA),Cyber      Grand Challenge (CGC)。https://www.darpa.mil/research/programs/cyber-grand-challenge
  11. Anthropic Frontier Red Team,Claude is competitive with humans      in (some) cyber competitions,2025-08-09。https://red.anthropic.com/2025/cyber-competitions/
  12. National Institute of Standards and      Technology (NIST),Artificial      Intelligence Risk Management Framework: Generative Artificial Intelligence      Profile,2024-07-26。https://www.nist.gov/publications/artificial-intelligence-risk-management-framework-generative-artificial-intelligence
  13. Open Worldwide Application Security      Project (OWASP) GenAI Security Project,OWASP Top 10 for LLM is now the GenAI Security      Project and promoted to OWASP Flagship status,2025-03-26。https://genai.owasp.org/2025/03/26/project-owasp-promotes-genai-security-project-to-flagship-status/
  14. Anthropic Frontier Red Team,Partnering with Mozilla to      improve Firefox’s security,2026-03-06。https://red.anthropic.com/2026/firefox/
  15. Hanzhuo Tan, Qi Luo, Jing Li, Yuqun      Zhang,LLM4Decompile:      Decompiling Binary Code with Large Language Models,EMNLP 2024。https://aclanthology.org/2024.emnlp-main.203/
  16. Anton Tkachenko, Dmitrij Suskevic,      Benjamin Adolphi,Deconstructing      Obfuscation: A four-dimensional framework for evaluating Large Language      Models assembly code deobfuscation capabilities,2025。https://arxiv.org/abs/2505.19887
  17. Abraham Clements et al.,Towards LLM-Resistant Software      Protection: Agent Failure Patterns in CTF Reverse Engineering,NDSS BAR 2026。https://www.ndss-symposium.org/ndss-paper/auto-draft-657/
  18. Cybench: A Framework for Evaluating      Cybersecurity Capabilities and Risks of Language Models。https://cybench.github.io/
  19. BountyBench: Dollar Impact of AI Agent      Attackers and Defenders on Real-World Cybersecurity Systems。https://bountybench.github.io/
  20. Anthropic,Coordinated vulnerability disclosure for      Claude-discovered vulnerabilities,最后更新于 2026-03-06。https://www.anthropic.com/coordinated-vulnerability-disclosure
  21. Node.js Project,New HackerOne Signal Requirement      for Vulnerability Reports,最后更新于 2026-02-19。https://nodejs.org/en/blog/announcements/hackerone-signal-requirement
  22. HackerOne,Code of Conduct。https://www.hackerone.com/policies/code-of-conduct
  23. Daniel Stenberg,The end of the curl bug-bounty,2026-01-26。https://daniel.haxx.se/blog/2026/01/26/the-end-of-the-curl-bug-bounty/
  24. 前沿观察 赛事纪实:从腾讯云黑客松,洞见智能体时代的攻防新格局,2026-04-17。https://mp.weixin.qq.com/s/f94uaYgqiSSx-3Vz0kP4_Q
  25. U.S. Bureau of Labor Statistics,Changes in the U.S. occupational      mix from 1860 to 2015,2019-08。https://www.bls.gov/opub/mlr/2019/beyond-bls/changes-in-the-us-occupational-mix-from-1860-to-2015.htm
  26. Martin Fiszbein, Jeanne Lafortune, Ethan      G. Lewis, José Tessada,Powering Up Productivity: The Effects of Electrification on      U.S. Manufacturing,National Bureau of Economic      Research (NBER) Working Paper 28076,2020;2024-04 修订。https://www.nber.org/papers/w28076
  27. James Bessen,Toil and Technology,International Monetary Fund (IMF) Finance & Development,2015-03。https://www.imf.org/external/pubs/ft/fandd/2015/03/bessen.htm
  28. Timothy F. Bresnahan, Manuel Trajtenberg,General Purpose Technologies      “Engines of Growth?”,National Bureau of      Economic Research (NBER) Working Paper 4148,1992-08。https://www.nber.org/papers/w4148

系列连载未完待续,下篇敬请期待。

本公众号发布、转载的文章所涉及的技术、思路、工具仅供学习交流,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!

点这里 关注我们,一键三连~


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:漏洞战争 《AI时代下对安全攻防演进的思考(中篇)》

评论:0   参与:  0