未來(lái)網(wǎng)絡(luò)安全的發(fā)展本質(zhì)上就像一場(chǎng)數(shù)字版的“搖滾小子機(jī)器人”比賽，將具有進(jìn)攻性和防御性的 AI 相互對(duì)抗——至少這是 NBC 報(bào)道稱(chēng)該行業(yè)對(duì) AI 的看法。

“在最近幾個(gè)月里，各種類(lèi)型的黑客——包括網(wǎng)絡(luò)犯罪分子、間諜、研究人員和企業(yè)防御者——開(kāi)始將 AI 工具納入他們的工作，”該報(bào)告說(shuō)?！跋?ChatGPT 這樣的 LLMs 仍然容易出錯(cuò)。但它們已經(jīng)非常擅長(zhǎng)處理語(yǔ)言指令，將普通語(yǔ)言翻譯成計(jì)算機(jī)代碼，或識(shí)別和總結(jié)文件。”

NBC 繼續(xù)講述了谷歌如何利用 AI 發(fā)現(xiàn)漏洞，如何 CrowdStrike 正在“使用 AI 幫助那些認(rèn)為自己被黑的人”，以及一家名為 Xbow 的初創(chuàng)公司開(kāi)發(fā)了一種 AI，在 6 月份成功“登頂 HackerOne 美國(guó)排行榜”。（HackerOne 后來(lái)將其排行榜分為單獨(dú)的追蹤器，用于個(gè)人研究人員和像 Xbow 這樣的“集體”。）

上個(gè)月我報(bào)道了 CrowdStrike 關(guān)于朝鮮特工正在使用生成式 AI 來(lái)創(chuàng)建簡(jiǎn)歷、社交媒體賬戶(hù)和其他材料，以欺騙西方科技公司雇傭他們，一旦被雇傭，他們會(huì)轉(zhuǎn)而使用 AI 工具與同事溝通、編寫(xiě)代碼，并維持正常的外表，同時(shí)領(lǐng)取工資。 正在使用生成式 AI

AI 在這方面（以及用于總結(jié)文檔）的效用已經(jīng)得到了很好的確立。（或者說(shuō)，至少比它自己進(jìn)行復(fù)雜的網(wǎng)絡(luò)安全研究的能力要確立得多；它仍然不太擅長(zhǎng)提煉事實(shí) 。）但似乎為時(shí)過(guò)早地宣布 AI 黑客時(shí)代的到來(lái)，尤其是由于它通常被用作一個(gè)乘數(shù)而不是一個(gè)完全自動(dòng)化的解決方案。

谷歌安全工程副總裁海瑟爾·阿德金斯告訴 NBC ，她還沒(méi)有“看到任何人發(fā)現(xiàn)什么新穎的東西”，而且它“只是做我們已知的事情?！彼€表示“將會(huì)進(jìn)步”，但研究人員、公司和獨(dú)立組織自 1960 年代以來(lái)一直保證人工智能將“遠(yuǎn)遠(yuǎn)超越其當(dāng)前限制”，所以我們?cè)谶@里遵循一個(gè)長(zhǎng)期的時(shí)間表。

Xbow 上升到 HackerOne 排行榜的頂端也很有趣，但它也忽略了類(lèi)似 AI 工具產(chǎn)生的巨大“雜亂”。幾乎每個(gè)依賴(lài)開(kāi)源 curl 項(xiàng)目（該項(xiàng)目是幾乎所有聯(lián)網(wǎng)設(shè)備的基礎(chǔ)）的領(lǐng)先開(kāi)發(fā)者丹尼爾·斯滕伯格都反復(fù)抱怨他浪費(fèi)在 AI 發(fā)現(xiàn)的“漏洞”上的時(shí)間。

到目前為止，2025 年的總體趨勢(shì)是比以往任何時(shí)候都要多出很多人工智能垃圾（大約占所有提交內(nèi)容的 20%），因?yàn)槲覀兤骄恐艽蠹s提交兩份安全報(bào)告，”Stenberg 在一篇關(guān)于這個(gè)問(wèn)題的最新博客文章中說(shuō)道。（強(qiáng)調(diào)他的話）“在 7 月初，2025 年大約有 5%的提交內(nèi)容被證實(shí)是真實(shí)漏洞。與往年相比，有效率顯著下降顯著 ?！?/p>

斯滕伯格最近也對(duì)此問(wèn)題發(fā)表了一次演講，值得一讀他關(guān)于這一現(xiàn)象的 2024 年博客文章 。一個(gè)用于超過(guò) 20 億設(shè)備的項(xiàng)目的主要開(kāi)發(fā)者正花費(fèi)如此多的時(shí)間來(lái)公開(kāi)呼吁——更不用說(shuō)實(shí)際處理——這個(gè)問(wèn)題了。還有多少其他開(kāi)源項(xiàng)目維護(hù)者正被類(lèi)似的問(wèn)題所淹沒(méi)，但卻沒(méi)有同樣的關(guān)注度？

人工智能在諸如朝鮮技術(shù)工人計(jì)劃等社會(huì)工程攻擊中已被證明是有用的，加快了谷歌研究人員發(fā)現(xiàn)漏洞的速度，并找到了操縱 HackerOne 排行榜的方法。NBC 也報(bào)道說(shuō)，俄羅斯黑客已開(kāi)始在針對(duì)烏克蘭的惡意軟件中嵌入人工智能，以“自動(dòng)搜索受害者的計(jì)算機(jī)中的敏感文件并發(fā)送給莫斯科。”

但它自己并沒(méi)有發(fā)現(xiàn)太多有趣的漏洞，它正用不相關(guān)的報(bào)告轟炸開(kāi)源項(xiàng)目，而且我們不知道如果 AI 被用來(lái)為俄羅斯尋找敏感文件是否產(chǎn)生了有價(jià)值的情報(bào)。（尤其是如果后來(lái)被要求總結(jié)被盜文件，并且因?yàn)椴幌胱屗奶摂M家人被送往古拉格而編造了一些勁爆的情報(bào)。）

這足以宣告 AI 黑客時(shí)代的到來(lái)，還是僅僅是全球最大科技公司過(guò)度支出、風(fēng)險(xiǎn)投資領(lǐng)域的投資趨勢(shì)以及前兩個(gè)群體所宣稱(chēng)的未來(lái)產(chǎn)業(yè)的地緣政治沖突所推動(dòng)的更廣泛 AI 興趣的另一個(gè)副作用？