网络安全行业，网络安全的AI对抗时代已经来临

大家好，我是Jun哥。

今天刷到一个大洋对岸的一个信息，在HackerOne平台上，占据漂亮国顶尖RedTeam漏洞挖掘榜首的，竟然是AI机器人，名为"Xbow"。

HackerOne平台是一个漏洞赏金平台，我知道国内有一些兄弟在玩。

这个平台的漏洞赏金计划连接企业与道德黑客。在众多的漏洞挖掘者中，"Xbow"脱颖而出，尤其在识别和报告企业软件漏洞方面的表现显著优于其他黑客。

这一消息，再次证实AI已经超乎人类的优势，只要AI能穷举学习的东西，并且能够自主推理的话，AI的更可能取代一部分安全工程师。

AI在网络安全领域的飞速进步，也暴露出攻击者同样可以轻松扩展这种技术，因此未来AI防御的主要对抗对象，其实就是AI攻击。

网络安全防御技术，其实从行业发展上来看，一直跟攻击是有时间差的，最近十年甚至二十年，其实大部分从业者所努力的，都是在缩短这个时间差。

因此，新技术的出现，更有利于攻击者，而不是防御者。这里其实就提到了一个大家常说的概念，叫做“安全左移”。

其实很多人对这个概念都是理解错了，因为防御始终落后于攻击。

笔者认为正确的理解是：

当我们自己单位还没有被攻击时，而其他单位有没攻击的具体事件和结果，此时对自己单位就可以叫做“安全左移”，因为此时已经大体知道如何防范了。

这就诞生了一个专门的业务，叫做网络安全威胁情报。

现在大部分时候的安全服务，其实就是要提前获取这样的安全威胁情报，也可以叫做未雨绸缪。

但"Xbow"的出现，意味着防守侧很可能失去这样的优势，因为在AI的加持下，响应时间会变得非常短，以至于你无法响应，想要完全杜绝被攻击，只能隔离网络。

这是一个标志性的事件，或许这意味着旧的网络安全时代已经结束，即人与人对抗的时代已经结束。

未来十年左右，我们迎来的是人与AI的对抗，AI与AI的对抗时代。

Xbow向HackerOne提交了近1060个漏洞信息说明，AI在漏洞挖掘和攻击利用等方面，已经远超人类。

这样亮眼的成果，估计能顶至少十个专业渗透测试工程师了。

尽管国内也有很多厂商在做自动化攻击系统，但是笔者了解到的大多数自动化攻击系统都属于“模板化”攻击，即配置好相应的攻击模板和脚本后，进行自动化渗透，本质上其实属于自动化攻击脚本。

而"Xbow"则可能大不一样，正以惊人速度超越人类红队成员，它已经通过了75%的Web安全基准测试，能准确发现并利用相关漏洞。

因此，黑客正快速采用新的AI工具，使他们能够更迅速、更精准地发动攻击，而让防守方毫无知觉，或者发现的时候已经完成了攻击。

因此在防守侧，或者说应对AI攻击方面，我们要走的路应该还很长。

因此，AI攻击不是没有到来，而是已经在发生了，它已经很从理论走向了实战。

2025年是AI智能体元年，AI会全面赋能各个行业，当然也包括网络安全，这开启了一个新的网络安全时代，网络安全的AI对抗时代。

各大网安企业，也开始新的一轮“军备竞赛”，他们把他称为AI赋能安全，亦或是安全赋能AI。

全文完，喜欢请三连，这对我很重要！