最近安全圈有个热门讨论挺有意思的讨论:AI辅助安全测试工具越来越强,像Mythos这样的AI已经能独立发现一些漏洞,那人类专家是不是该收拾铺盖走人了?说实话,每次技术革新都会带出类似的焦虑,但这次我反倒觉得,AI越强,人类专家的价值反而越凸显。
为什么AI搞不定所有安全测试?
先别急着下结论,看看AI在安全测试里的实际表现。AI擅长的是模式识别和暴力枚举——它能以人类无法企及的速度扫描代码、分析流量、匹配已知漏洞模式。但真正的安全漏洞,往往藏在业务逻辑漏洞、权限提升链、多步骤组合攻击,这些需要理解业务上下文、预判攻击者意图,甚至需要一点“黑客直觉”。举个例子,一个电商平台的优惠券系统,AI能发现SQL注入,但它很难想到“先领券再退款”这种业务逻辑绕过。这种对业务流程的深度理解,目前AI还差得远。
人类专家的“直觉”从哪来的?
很多人觉得安全专家的“直觉”很玄学,其实不然。那是多年实战经验在大脑里形成的模糊模式匹配——看到一段代码,大脑自动联想到十年前某个CVE的类似漏洞。AI虽然也能学习,但它学的是显式标注的数据,而人类专家能从零散的非结构化信息(比如论坛帖子、技术博客、甚至同事的闲聊)中捕捉到线索。Calif公司CEO Thai Dong提到,他们那次攻击是“结合了团队中资深黑客的高度专业安全知识”。说白了,AI是工具,人类才是那个知道“该往哪挖”的人。
真正的趋势是“人机协作”,不是取代
安全测试的未来不是二选一,而是分工:AI负责脏活累活——自动化扫描、回归测试、已知漏洞检测;人类专家负责策略制定、未知漏洞挖掘、应急响应。比如,AI可以每天扫描数千个应用,标记出可疑点,然后人类专家花十分钟确认这些点是不是真正的漏洞。这就像医生和CT机的关系:CT机能快速成像,但诊断还得靠医生的经验和判断。效率提升10倍,但核心决策权还在人手里。
别忽略“对抗性”因素
安全测试本质上是一场攻防对抗。攻击者也在用AI生成攻击载荷、绕过检测,防守方也必须用AI提升效率。但攻防双方都在进化,人类专家需要不断调整策略。如果完全依赖AI,攻击者只要找到AI模型的盲区,就能轻松绕过。去年就有研究证明,给AI生成的恶意代码加上一点无害的噪音,就能让检测模型误判。这种对抗性场景下,人类专家的创造性思维和临场应变能力,是AI短期内无法复刻板模式无法替代的。
所以,取代?别想了
AI会淘汰那些只会用脚本、不懂底层原理的“工具人”,但真正的安全专家只会越来越吃香。他们需要从“写规则”变成“教AI写规则”,从“手动测试”变成“设计测试策略”。说白了,AI是铲子,人类才是矿工。矿工不会被铲子取代,但会用铲子的矿工能挖到更多金子。