AI安全攻防双面镜:当AI同时成为矛与盾
2026年6月的第一周,安全社区同时收到了几条看似无关、实则暗流涌动的消息。
一家名为depthfirst的安全初创公司,用自主运行的AI Agent对FFmpeg的150万行C代码进行了扫描,挖出了21个已确认的零日漏洞,其中一些已经在代码库中沉睡了23年。整个扫描的成本大约1000美元。几乎同一时间,Google发布了Chrome 149,一次性修补了创纪录的429个安全缺陷,其中超过100个为严重或高危级别。Google没有说这429个漏洞是AI找到的,但它专门为了应对AI生成报告的洪水,在4月重构了漏洞悬赏计划。
也是在同一周,一份来自SOC-CMM的调研报告显示,全球约200个安全运营中心中,有71%认为AI带来的价值”一般”甚至”没有”。而与此同时,攻击者正在用AI生成更逼真的钓鱼邮件、自动化漏洞利用和供应链投毒。
AI在安全领域,正在同时扮演矛与盾。但问题是,这面双面镜照出的,并不总是我们期待的画面。
一、AI挖洞:便宜、快速,但并不万能
先说说depthfirst的FFmpeg案例。这个案例之所以重要,不在于”AI挖出了21个漏洞”这个标题本身,而在于它揭示了一个趋势:漏洞发现的边际成本正在急剧下降。
传统上,发现一个高质量的零日漏洞需要经验丰富的安全研究员投入数周甚至数月的时间。而depthfirst的AI Agent在花费约1000美元的情况下,产出了21个带完整PoC的零日漏洞。算下来,每个漏洞的平均发现成本不到50美元。Anthropic的Mythos模型之前也在FFmpeg中发现过漏洞,成本约10000美元。从10000美元到50美元,这个降幅是显著的。
这里面有几个值得关注的细节。
第一,沉睡多年的老漏洞被AI翻了出来。depthfirst发现的漏洞中,有一个栈溢出问题可以追溯到2003年,在代码库中存在了23年没有被人工发现。这说明AI在某些场景下的代码审计能力,已经可以覆盖到人类审计容易遗漏的盲区。特别是像FFmpeg这样的老牌开源项目,代码历史长、贡献者多、模块复杂,人工全量审计的成本极高,AI的低成本扫描恰好填补了这个空白。
第二,漏洞类型集中在堆溢出和栈溢出,大多出现在解析器和解复用器组件中。这不是AI”碰巧”找到了这些漏洞,而是因为AI能够系统地遍历所有输入路径,对边界条件的检查比人工更全面。人类研究员通常会选择自己熟悉的模块深入分析,而AI不会有这种偏好。
第三,但也是最重要的一点——AI挖洞的准确性仍然有限。depthfirst的Agent扫描了150万行代码,产出21个确认漏洞,但我们不知道它总共报了多少个误报。在实际的安全运营中,误报处理成本往往是被低估的。Google之所以重构Chrome的漏洞悬赏计划,正是因为AI生成的报告数量暴增,但其中大量是低质量、无法复现的提交。Google现在要求提交者提供简洁的可复现步骤,而不是AI生成的冗长分析报告。
所以,AI挖洞的现状是:在特定目标上成本极低、速度极快,但需要人类研究员进行验证和筛选。AI是放大器,不是替代品。
二、防御端的AI困局:买了,部署了,然后呢?
SOC-CMM报告的数据令人深思。AI在安全运营中心的采用率全线飙升——AI副驾驶增长145%,AI智能体增长118%,现成大语言模型增长55%。但71%的SOC认为AI的价值”一般”或”没有”。
这组数据背后,折射出安全行业对AI的期望与现实之间的巨大落差。
落差一:AI工具与工作流脱节。 很多SOC部署了AI副驾驶或智能体工具,但这些工具往往是独立的、通用的,没有与SOC现有的SIEM、SOAR、工单系统深度集成。安全分析师需要在AI工具和传统工具之间频繁切换,反而增加了操作复杂度。AI生成的告警摘要、威胁分析报告,需要人工二次确认和格式转换后才能进入现有的处置流程。这种”最后一公里”的摩擦,严重削弱了AI的实际价值。
落差二:AI擅长总结,不擅长决策。 当前大语言模型在安全运营中的主要价值在于信息聚合和文本生成——把几十条告警日志总结成一段描述,或者把威胁情报报告翻译成内部通报。但SOC分析师真正需要的,是可靠的决策支持:这条告警是不是误报?这个IOC是否与我方资产相关?当前攻击的优先级如何排序?这些判断需要深入理解企业特定的网络架构、业务逻辑和历史上下文,而通用AI模型在这方面仍然力不从心。
落差三:AI引入了新的攻击面。 讽刺的是,部署AI安全工具本身也可能引入新的风险。AI Agent可能被提示注入攻击操控,执行非预期的操作。AI驱动的自动化响应可能因为误判而产生比原始攻击更大的影响。一些SOC在经历了AI误报导致的”自动化灾难”后,不得不回退到人工确认模式,AI的价值感随之下降。
三、攻击端的AI进化:钓鱼、投毒、自动化
当防御方还在为AI价值争论不休的时候,攻击方对AI的采用却毫不犹豫。
AI钓鱼的工业化生产。 传统的钓鱼邮件通常有明显的语言错误、格式异常或可疑的发件人地址。但AI生成的钓鱼邮件在语法、语气、格式上都可以高度仿真。2026年6月初曝光的Facebook钓鱼活动就是一个典型例子——攻击者利用Meta Business Manager的合作伙伴邀请机制,发送了外观几乎完美的商务邮件,诱导受害者点击恶意链接。这种攻击的成功率远高于传统钓鱼。
供应链投毒的规模化。 2026年上半年,npm、PyPI等开源包管理器上的恶意包数量持续攀升。攻击者使用AI批量生成看似合法的工具包,包括完整的README文档、类型标注甚至单元测试,使得人工审查越来越难以识别。从TrapDoor跨生态攻击到Miasma蠕虫式投毒,AI正在让供应链攻击的门槛大幅降低。
漏洞利用的自动化。 AI不仅能发现漏洞,还能自动生成利用代码。今年2月的一项学术研究表明,AI Agent能够为100个真实的Linux内核N-day漏洞生成可工作的PoC,成功率超过50%。这意味着一旦漏洞信息公开,从N-day到在野利用的时间窗口可能缩短到小时级别。
四、如何在这场不对称战争中找到平衡
面对AI在攻防两端同时加速的现状,企业和安全团队需要重新审视自己的防御策略。
1. 重新定义AI在安全运营中的定位
不要期望AI成为”自动安全分析师”。更现实的定位是:AI是安全分析师的效率倍增器。让AI处理信息收集、日志归并、初步筛选等重复性工作,让人类专注于需要判断力和创造力的环节——威胁研判、应急决策和攻击溯源。
2. 投资AI安全的”最后一公里”
与其购买更多AI工具,不如把预算花在集成上。确保AI工具的输出能够无缝流入现有的SOC工作流。如果一个AI分析工具的输出还需要分析师手动复制粘贴到工单系统,那它的价值就被”最后一公里”的摩擦消耗殆尽了。
3. 缩短从漏洞披露到修复的时间窗口
AI让漏洞发现和利用的速度都在加快。传统的”30天补丁周期”已经不够了。企业需要建立基于风险的漏洞优先级排序机制,对面向公网的高价值资产的关键漏洞,修复时间应该压缩到72小时以内。FFmpeg这种几乎无处不在但常常以嵌入式副本形式存在的依赖,更需要建立完整的软件物料清单(SBOM),确保不遗漏任何隐藏的受影响实例。
4. 加强人的因素
AI时代的网络安全,人的因素不是在减弱,而是在增强。AI可以处理海量数据和重复任务,但最终的判断、决策和责任,仍然需要人来承担。投资安全团队的培训,让他们理解AI工具的能力边界和局限性,比购买任何AI工具都重要。
5. 为AI自身的安全做好准备
如果你正在部署AI Agent或AI驱动的自动化系统,确保对这些系统本身进行了安全评估。提示注入、数据投毒、模型后门等针对AI的攻击手段正在成熟。在赋予AI更多自主权之前,先建立好护栏和监控机制。
互动
你所在的组织是否已经部署了AI安全工具?实际体验如何?欢迎在评论区分享你的经验。
关于点小安:点滴安全网站小编,专注网络安全科普。安全无小事,点滴记心间!
声明:本文观点仅供参考,不构成安全建议。
关注点滴安全(www.dripsafe.cn),获取更多网络安全干货!
