文章总结: 本周安全热点聚焦AI攻防升级与网络安全审查。AnthropicMythos模型自主发现零日漏洞的能力引发对AI重塑网络攻防体系的讨论,智能体存在ODCE和UBCE两个架构级超危漏洞,传统安全模型面临失效。同时,网络安全审查办法中网络平台运营者的认定与申报流程仍是实务难点,建议企业主动与网信办互动确认合规要求。 综合评分: 85 文章分类: AI安全,漏洞分析,红队,内网渗透,安全建设
安全观察:AI攻防升级与网络安全审查两大热点解读|总第314周
原创
群秘 群秘
君哥的体历
2026年7月13日 08:00 北京
在小说阅读器读本章
去阅读
0x1本周话题
话题一:最近,Anthropic 发布的新模型 Mythos 在 AI 安全领域引发了广泛讨论。与以往面向开发者开放的模型不同,Mythos 选择仅向少数合作机构开放,其自主发现零日漏洞的能力和背后的合作机制,也让不少业内人士开始重新思考:AI 是否正在重塑网络攻防体系,甚至开启新一轮 AI 网络安全竞争?
《AI 网络安全军备竞赛已经开始:Anthropic Mythos 解读》
A1:理论上来说,应该要用魔法才能打败魔法,否则就是落后挨打。但公司没有魔力给我用。我也不知道该怎么办。
A2:其实一切都在安全范式本源。没有魔法,只是世人不愿意努力,只希望天降魔法,解一切困难。疏不知这波自主智能体给攻击方以神兵利器,给防守方以一堆猪队友。其实现在只是抽水机转起来,让之前呼弄事的防守暴露出没穿底裤而已。
A3:同意。我觉得比漏洞发现不是正确方向。这个案例很典型,再怎么安全范式,人家一个数据包就把你打崩了,根本不进入后面的应用逻辑,没办法告诉老板我有纵深防御我不怕0day,其实很怕,而且会越来越多。
真实案例:
OpenBSD 27年漏洞——一个存在了 27 年的远程崩溃漏洞,攻击者只需连接到目标机器即可使其崩溃,OpenBSD 是地球上最以安全著称的操作系统;FFmpeg 16 年老 bug——一行被自动化测试工具跑了 500 万次都没触发报警的代码被 Mythos 发现,知乎 FFmpeg Maintainer @quink 评价“这个 bug 大约是塞尔达里波克布林的级别,再低级的怪物只有丘丘胶(史莱姆)和小蝙蝠了”;Linux 内核攻击链——Mythos 在内核中自主串联多个漏洞,实现从普通用户权限提升至完全控制系统。
A4:一个包就崩的洞不可怕,可怕的是你连基本的流量日志都没有,没有能力分析漏洞机制。这种洞在平时也就是最多一个小时止血的事情。另外真怕这种一个就崩的洞,那就应该多支持我们把星绽这种免崩溃的新体系做好。真正的高危神洞是有限的,天下没有那么多的容易用的洞。
另外每一个openclaw都自带两个超危漏洞: ODCE:基于自然语言的大模型Agent天生就自带开放动态命令执行Open Dynamic Command Execution漏洞,只要做system prompt越狱,就能实现任意指令执行攻击,而这种越狱普遍性的非常容易。攻击者可以任意调用接入agent的rag,tool,以及mcp互联的其他agent。而且可以从与Agent链路的各个生态位发起攻击 UBCE(无界上下文暴露):全量敏感数据始终暴露在无法收敛的泄露风险中。
智能体的上下文记忆不做任何密级区分和任务隔离,跨系统数据在同一个“记忆池”中自动汇聚,产生任何单一系统都不允许存在的高价值关联数据集。更危险的是,智能体的文本加工能力使敏感数据可被摘要、改写、编码后隐蔽外传,传统DLP手段几乎无法拦截。不用Mythos就能挖出来,漏洞威力比Mythos挖出来的大部分漏洞都要严重得多,这些也没见你们害怕啊。
现在其实是安全同学们理直气壮跟老板说“你看,就是之前安全投入太低了,现在Mythos来了,我们扛不住,必须增加安全投入”对吧?大好时机。
A5:是啊,这个漏洞能被感知。感知不到的呢?组件太多了,不敢说它们就比openbsd强。这篇文章想传达的就是这种焦虑。
A6:其实所有的api对外接口比openbsd要理清可容易太多了,但我不知道有几家是真正理清楚ovtp相关要素后才上线的。真的理清楚以后,你其实基本不必担心那些盲打的攻击尝试,而且可以在后台把这些尝试变成你自己的-1day。但连该做的api梳理都没做的时候,该担心的是mythos么,只是mythos让这些筛子更加明显了而已。
A7:未来防守方走到白名单机制了,只对自己对应的数据进行防护。所以每个企业都要具备Mythos级别的模型能力,算力上要覆盖自己对外的所有api和组件,达到提前发现漏洞的结果,用魔法打败魔法
A8:大部分企业的业务复杂度不需要Mythos级别 ,但应该用claude code+kimi 2.5去帮着查OVTP的满足情况,然后考虑怎么补全。魔法都是用来骗外行的。
智能革命时代:自主智能体兴起与安全范式重塑自主智能体兴起引发全行业变革,但智能体内置ODCE(自然语言即攻击面)与UBCE(无边界上下文暴露)两个架构级超危漏洞,导致RBAC、零信任等传统安全模型全面失效。当下攻击能力因自动化而极大提升,被攻击面因智能体自主能力失控而极大扩展,防御成本急剧增加,安全底层范式亟须重构,需要三层范式协同:HOP可信执行范式将意图显式声明为结构化规范,约束智能体在规范边界内执行、核验、迭代;NbSP零越范式在机制层封死越权路径;OVTP可溯范式在策略层重建多元身份、工单凭证与审计链路。三层协同,才能将攻防对抗拉回可持续均衡。
《蚂蚁集团副总裁兼首席技术安全官韦韬:智能体时代安全底层逻辑崩塌,OVTP范式如何重建?》
A9:这3 个都很难落地啊,目前大模型调用就是用人的 APIKey,服务端可以识别但很难去拒绝吧,第二基于任务调用也依赖于企业的成熟度,目前可以说几乎没有这种基于任务来访问的管理机制,也许小企业的简单场景可以,但大企业里面是混乱的复杂的,各种应用都是自发式建设难以纳入到安全任务管理的范畴。
日志审计就更难了,全流程日志的埋点收集就是一个巨大工程,更别说异常审计也是复杂的,很难从海量日志识别异常,做溯源倒是可以,但收益很低。
A10:我个人理解,在技术的变革时候,还是要努力做对的事,路虽远行则将至。结合传统安全的经验但别纠结,对AI安全时代充满想象力,重点在落。 借楼问个问题,大家都做 AI gateway 么?
A11:对的事是什么,是AI对抗AI,还是追求通解。大模型围栏么,对外提供服务必须做。
A12:这个是最可笑的地方,这些基本工作都没做,却怪担心攻击武器太强,打穿现在稀烂的防线真的需要mythos么?早就和大家说上切面吧 但有几家能下决心做的 部署了RASP就觉得已经完工了。
A13:围栏可以挡一部分,但不是银弹,看到过一篇论文,基于密码学论证了不可能用一个能力弱的模型实现一个有效的安全围栏,去保护能力强的模型。
A14:大模型网关必须部署,否则nbsp收敛都是笑话。加入联盟又不要钱,大模型身份的核心是知道企业中各个核心数据都发散到哪儿去了,特别是大模型服务的token日志里,否则数据泄露都不知道是哪儿漏出去的。
A15:去年商业化部署都快10万点了,本来就不是只限于联盟内的,国内真正为了安全买东西吧,我就不说啥了,就没几个真的为安全出发的。
A16:AI发展挺好的,终于可以裸泳了。
A17:切面这套体系依赖于基础工作是否扎实,也不虚,就是舍得持续投入。
A18:大多数时候,我们是要解决眼前的苟且。但在这个群里面都是行业里面的精英,也是一个吹牛皮务虚的地方,还是适合讨论一下诗与远方。我想问下大家,在没有最先进大模型的情况下面,有没有其他路可以走,来达成攻守的平衡?
Q:要解决AI场景的什么安全问题?
A19:为了应付mythos,目前第一波先用kimi2.5加专家经验,排查自己所有api的ovtp范式满足情况,然后该修的修,该关的关,做好预案。
A20:做到每个执行都是基于“任务”,需要设定权限和许可的工作场景,需要全链路埋点日志,基于行为偏差,就能找到 99%的异常行为了,但这个工作费力费钱,也不需要什么高大上技术。
A21:有两个AI安全,第一个是应用AI自身带来的安全问题,第二个是AI的发展对安全的挑战和颠覆。眼前的课题是第二个,漏洞极速爆发,传统修漏洞的做法不可行了。
A22:其实根本谈不上费力费钱,投入肯定不到研发总投入的2%,只是还债而已。以国内安全实际投入普遍低于研发总投入0.2%的稀碎现状而言,实在没啥好抱怨的。及格线是5%。
A23:同意,不过落地实操非常难——我个人的理解是:网络安全最大的敌人不是外面的黑客,而是技术债、部门强、组织成员的意识。
A24:大模型安全成本还是比较高的,2%不够吧,我们去年就开始对接了阿里的大模型护栏,为了做好安全,输入输出包括内部的一些Agent的调用,自己做了hook也对接进行提示词拦截,成本快要超过我们用的大模型本身的token成本了。
A25:就是公司通用大模型烧的token成本和安全大模型的内容和提示词注入的成本快持平了。
A26:大部分公司安全研发比不到1/200,研发搞研发的,安全搞安全的。
A27:非常认同,业务口部署智能体,接上互联网的理由十足,没人提安全,问就是我们做业务的不懂啊,所以,如果再追问一句,再高的道,应该是如何平衡权责利,不能肉都给业务吃,肉汤给研发运维,板子只打网络安全。
A28:我花了几个月时间,把各种业务链路对接了,然后运维给我报成本,我惊呆了。自主智能体能省研发的钱,反而会让安全的投入更加重要。
A29:从安全4 个象限来看,数据泄露危害他人(社会、国家)最严重,自身反而小(商密除外)。所以也就驱动力不足,合规管控也没这么严格,每家公司的法务、PR 都能斡旋降低影响。安全的权力和投入也低,至少是不能影响业务发展,也难有一票否决权。
A30:大家都要考虑roi,左移太贵了,右侧搞搞审计吧,至少知道发生了什么。
A31:其实很多大公司在salesforce上的费用,安全本来就占据将近一半,只是国内习惯于安全上不花钱,只在合规上做做样子。
A32:有些行业只能左移,比如金融,web3,量化。不花钱的其实就是安全没那么重要…反正也没啥大事。
A33:我们公司在AI这块目前相当激进,已经推数字员工了,每个员工都搞数字分身。最近我们团队天天加班、技术整改、加固,解决产研自动化AI各个环节的风险,也整了一堆工具部署。
A34:说起数据泄露,群里有讨论“蒸馏常态化”吗?以后mythos打过来,也只是蒸馏而已,和各家的水平越权漏洞毛关系也没有哈。天下没有免费的午餐,整体成本下降,都是有代价的。
《专家解读 | 自动化程序收集公开数据的合法边界》
A35:承重墙偷工减料了,物理规律会让它崩塌,在这种情况下安全投入都是能省就省。软件里面有安全漏洞,没人利用可以一直跑得好好的。所谓的安全债的多寡,它并不客观的;
而且经常出现投入多的,出问题,因为“欠债”实在太多,所谓投入多也并未达到可靠的保障结果的水平。投入少的也不一定出问题,因为攻击有门槛,可以吃的“肉”实在太多,一只羊被吃,一群羊还是可以好好的。这种情况下指望足够投入很难。
AI来了,攻击自动化了,有希望形成一种类似“重力”的均匀力场,让所有组织/系统在同样的压力下接受考验、暴露问题,对攻击者是盛宴,对于防守者也是机会,利用好技术进步红利,加油吧。
话题二:审查办法里的网络平台运营者具体是什么?怎么认定?审查标准流程是什么,有什么指引吗?
A1:我个人理解来说,是这样的:
- 1.网络平台运营者简单说就是对公众提供服务。然后叠加影响国计民生或者掌握大量数据就要申报,其它还有关基等条件,可以说下你的情况帮你判断。
- 2.如果风险比较高,挨着边,认定其实还是得咨询网安审查办公室,别人说不属于没用。
- 3.可以登录网安审查办公室,下载申报材料。各地执行不一定一样,我看有的网上交,有的集中交给行业主管单位,问问审查办公室总没错。企业内还要分企业预判和正式申报流程,并存档预判记录,我们这预判和申报是负责采购的团队在走,没扣给安全。
- 4.申报动作只是申报书和合同、附加材料,合规的情况其实没啥,主要是如果你是关基、在采购境外产品,或者涉及到了办法中的其它高风险情形,它真的会卡你,也会让你合同不生效,关键是要改企业制度、流程和合同生效条款来符合办法。
A2:直接问网信办就可以了吧,别人经验也只能参考,不一定适合。
A3:谢谢详细的回答,受益匪浅。
- 1.审查办法里出现的网络平台运营者未见有发文定义,cii是有条例定义,然后各保护部门搞认定规则,按照规则去认定走流程,相对清晰一点。不同的行业对cii运营者的定义也不一样,有的直接是cii运行单位,有的是cii运行单位的上级集团公司。这个差别就涉及到后面的审查范围,另外有的cii运营者也可能是网络平台运营者但没有依据和明确参照标准。
- 2.审查办公室的电话打过几次,没接通,官网也没找到相关模板,已发邮件咨询待回复。
- 3.预判、影响分析、申报及与保护部门衔接等各环节流程内部也没有完全清晰,职责边界明了会更顺畅一些。
A4:实务上讲,网信也是监管,人少事多,网信还是得主动互动. 如果主动拜访觉得麻烦,网信搞专项活动时,多加几个负责人,这些问题点对点问可能效果更好. 之前我司也走网信类似要求,很耗费人力,后来点对点咨询,对方一听,就说实际不用申报。
A5:确实是很多其实可以不用申报的,但是中间还有保护部门,有时候要求不完全一致。
A6:从现实角度看,不出事你预判全部判定无需申报也可以这么操作,但出事就要罚了,谁判定的不用报,所以关基单位都不敢的,慢点就慢点,不做就不做,被罚才是要命的。
Q:请教下,关基条例19条“运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。”目前是怎么落实的,谁来评估是否可能影响国家安全,如何发起安全审查?
A7:买XC、AK目录的产品?
A8:都给你统一定好要求了。
A9:买目录内的就免安全审查了吗,不是目录内的怎么采?
A10:gj和xc要求不一样的啊,不能混在一起搞。谁来评估是否可能影响国家安全,如何发起安全审查?
A11:xc也就是ak公布的只有os、芯片和数据库,但是工作要求涉及系统、各类硬件设备。我们和人行、总局就这些非公布设备进行过多次交流,基本上已经明确了采购原则。
A12:你说的网审是gj的内容。根据gj的要求,gj单位内部需要评估出gj系统的范围。针对gj系统及其硬件资源严格按照《网络关键设备和网络安全专用产品目录》采购,如果确要采购,我们是信息技术部向监管的对应管理单位发函,请求发起网审。
Q:现在关基都是这么干的吗,直接报审查材料给到国家互联网信息办公室?
A13:报给行业的归口管理单位,材料都是刻盘后现场提交。
0x2 群友分享
【安全管理】
《Mythos风暴将至,250位CISO闭门交出可落地方案》
《漏洞永远修不完,“带洞防护”成必然——奇安信发布Mythos应对白皮书》
《复现与修复指南:Linux内核本地提权漏洞Copy Fail(CVE-2026-31431)》
《Ghost Bits(幽灵比特位)自查工具发布:检测高位截断与WAF绕过风险》
【法规解读】
关于印发《网络安全标识管理办法》的通知
【安全资讯】
《突发:史诗级漏洞,732个字节通杀所有Linux!》
【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的精华话题会同步在本公众号推送(每周)。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球,方便大家查阅。****
往期群周报:
开源邮件安全检测与内部邮箱盗用防护:小模型方案评估及群发拦截策略|总第313周
OpenClaw的风险隔离与管控应对,以及渗透测试的报备合规探讨|总第312周
从终端沙箱到AI Agent:安全隔离的演进与安全角色的重塑|总第311周
如何进群?
如何下载群周报完整版?
请见下图:
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:君哥的体历 群秘 群秘《安全观察:AI攻防升级与网络安全审查两大热点解读|总第314周》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论