本文来自微信公众号“数世咨询”。
过去12个月,人工智能在网络安全领域占据了主导地位。在这个充满专业批判性思考者的领域,一个自然而然的问题是,网络安全的基础知识究竟发生了多大改变,或者在不久的将来会发生多大变化。
我们正在使用的技术在2025年是否仍然适用?这个问题的答案并非非此即彼。从某种程度上来说,人工智能的出现确实改变了一切。然而,这并不意味着你必须放弃你所学的一切。
01 AI改变了对“一日漏洞”的利用
2025年有论文显示,OpenAI的GPT-4能自主利用现实系统中的漏洞:只给它一份描述缺陷的CVE公告,它就能在测试中成功利用87%的漏洞。这意味着仅凭漏洞描述与代码,自动化挖掘与利用已成为现实。由于不可能在“数小时内”完成全面打补丁,防守端需要控制影响范围。解决方案就需要采用更细的分段、零信任、访问前的即时(Just-in-Time)身份认证,并假设入侵会发生,用更好的检测把损害降到最小。
02 AI为防御端新增了工具
过去一年,市场上出现了一些非常好的工具。这就是人工智能“以毒攻毒”的方法,似乎是解决问题的自然方法:
- 用AI绘制系统通信图,梳理“谁能与谁通信”,并在对手之前推进微分段;
- 当检测到某个从未被访问过的资源被尝试访问时,强制触发防钓鱼多因素认证;
- 在零信任框架下持续监测并判别行为是否异常。
03 AI并没有改变你正在处理的终端
终端依然由输入、输出与算法构成。很多测试与验证思路并未改变。虽然我们需要理解LLM的工作机理并对其进行加固,但这更像是在既有基础上的扩展,而非颠覆。
数世小编认为,数据存储方式发生了改变,之前是存储在企业自己的服务器,现在员工可能将信息或敏感信息通过个人账户提交给了ChatGPT、豆包、gemini、kimi、Grok等平台,正所谓“数据一入AI撒了欢,从此防护难上难“。
04 AI没有改变攻击类型,只是提高了复杂度与规模
以往我们可凭邮件里的拼写错误识别钓鱼,如今AI抹平了这些“破绽”。但本质仍是,一封诱导你点击的邮件,一段想让你做出不安全操作的深度伪造语音/视频。AI恶意代码或许驻留内存、使用多态技术,但这些战术并非首次出现。不同在于,如今规模化实施更容易,因此防守要在既有策略上应对“量”和“速”的提升。
05 AI一方面降低了门槛,但增加了企业受攻击面
- 入门门槛降低:2023年仅21%的黑客认为AI会提升攻击价值;一年后该比例升至71%,且77%表示已在使用生成式AI。从“脚本小子”到国家队,人人都能借AI精准攻击。
- 攻击面变化(针对采用AI的企业):Pluralsight《2025 AI技能报告》显示,86%的组织已在部署或计划部署AI技术。随之而来的,是更大攻击面:模型漏洞、数据投毒、模型反转攻击、整体复杂性增加等。
06 AI也改变了你需要掌握的一些基础知识
如今,具备AI的基础知识已成为网络安全岗位的“必修课”。你不一定要成为专家,但若不了解AI的基本原理、组织如何使用AI,就难以评估其风险、设计相应防护,更无法与同事就AI安全展开有效沟通。
结论:网络安全策略并未消亡,只是进行了微调
适应人工智能带来的所有变化的第一步是确保你了解你正在处理的事情。这样,你就可以将其融入到你的日常工作中,根据现状进行相应的调整,并随时掌握未来可能发生的任何变化。很多老方法仍然有效,只是要在更精细的分段、更严格的零信任、更快速的检测与响应上持续加码。
*本文为闫志坤编译,原文地址:https://www.pluralsight.com/resources/blog/cybersecurity/ai-changes-to-cybersecurity
