1. 首頁 > 生活百科 > >

從“手工藝”到“AI工程化”:解碼AI智能滲透的未來之戰

人工智能算法人形機器人動力學

從“手工藝”到“AI工程化”:解碼AI智能滲透的未來之戰

當AI的浪潮席卷安全領域 , 攻防的形態正在發生根本性的變革 。
11月 , 騰訊云黑客松智能滲透挑戰賽決賽落幕 , 400+頂尖極客用AI智能體上演了一場“無人干預”的巔峰攻防對決 , 標志著安全攻防正式邁入AI驅動的新質生產力時代 。
賽后 , 騰訊云安全作為賽事主辦方 , 邀請賽事評委、高校導師及優秀戰隊核心成員 , 舉辦了一場名為“冠軍之夜”的線上深度復盤 。 數世咨詢創始人李少鵬擔任主持 , 與騰訊云安全總經理謝飛、清華大學副教授陳建軍、NeuroSploit戰隊成員汪琦(清華大學)、hjtuHunter戰隊隊長胡宇睿(西安交通大學)展開了一場長達一小時的深度對話 。
這次直播 , 不僅是對賽事的全面復盤 , 更是一次關于AI如何重塑安全生產力、未來防御體系如何演進、以及頂尖人才如何培養的前沿思想碰撞 。
對大模型時代來說 , 一場“全自動”的AI滲透賽意義何在?
李少鵬老師介紹說 , 騰訊云黑客松智能滲透挑戰賽是國內首次真正意義上的全自動化AI智能滲透大賽 。 與以往“人調AI”的輔助模式不同 , 本次比賽要求選手將程序部署上線后便完全放手 , 讓AI智能體自主完成從探索、規劃到利用的全流程 。 這相當于是對即將到來的智能體時代 , 進行了前置“壓力測試” , 一方面考量“行不行” , 另一方面也考驗“怎么樣” 。 從結果上來看 , 智能體已經能將大量滲透測試任務理解并完成 , 從而讓“人類”的精力更充分的釋放到創造工作中去 。
作為主辦方 , 騰訊云安全總經理謝飛也提出了舉辦這次賽事的兩個核心目標:
一是探索技術前沿的真實水位:網絡安全本質是技術對抗 。 騰訊安全希望摸清“AI+安全”融合后 , 在自動化攻擊/滲透領域 , 業界究竟發展到了什么水平、遇到了哪些瓶頸、未來有多大比例的工作可以由AI自動完成 。
二是搭建業界交流與展示的平臺:通過騰訊云安全已有的眾測平臺和沙龍機制 , 為高校、企業及研究機構提供一個舞臺 , 讓大家將一段時間內關于AI與安全融合 , 特別是自動化攻擊的思考和方案“秀出來” 。
賽事成果遠超預期:吸引了全球238支戰隊、518名選手參與 , 涵蓋了卡內基梅隆大學、清華大學等頂尖高校 , 以及長亭科技等頭部安全企業的戰隊 。 謝飛坦言 , 作為評委 , 他最大的感受是 “AI在安全領域的發展步伐比想象中快得多” 。 他原以為技術可能只發展到“第三步” , 但實際比賽中選手們的方案已經接近“第五甚至第六步” , 許多理論上可行但現實中困難的問題 , 已被選手們觸及并部分解決 。
技術亮劍:頂尖戰隊的滲透智能體是如何煉成的?
本次比賽的一大亮點是 , 不僅團隊作戰成績斐然 , 單人戰隊同樣表現驚艷 。 亞軍胡宇睿便是“一人戰隊”的代表 。 在直播中 , 他分享了其“單兵作戰”的心得與架構思路:
效率杠桿:在AI時代 , 小團隊或個人通過AI杠桿能發揮巨大作用 。 前十名中不乏單人隊伍 , 這背后是開發范式的轉變:人類專家提供核心安全經驗與思路 , 將繁瑣的工程化、編程工作交給AI和自動化工具 。 例如 , 借助騰訊的成熟框架 , 一個輕量化應用可能3-5小時就能搭建起來 。 架構創新:解決“復雜業務場景連貫性”痛點:他的智能體創新點在于針對復雜業務場景的自動化滲透研究 。 與通用AI智能體更關注記憶和上下文處理不同 , 他的架構專注于網絡安全垂直領域 。 核心挑戰在于 , 通常針對單個API或單一步驟 , 難以處理需要多步交互、數據流關聯的復雜業務漏洞 。 他利用大模型理解語義、進行任務規劃和代碼生成的能力 , 讓AI智能體能夠模擬人類 , 在復雜的業務鏈路中進行探索 , 建立不同API之間的數據流、控制流邏輯關系 , 再調用傳統工具進行精準測試 。 這使得其方案對復雜場景和多種漏洞類型具有更好的泛化能力 。冠軍戰隊成員汪琦(清華大學)則從團隊協作角度分享了策略:
【從“手工藝”到“AI工程化”:解碼AI智能滲透的未來之戰】一是以賽代練 , 驗證想法:他們參賽更多是抱著“試水”心態 , 希望利用公開、公正的數據集 , 檢驗自家設計的AI智能體在實際場景中的效果 。
二是高效基建與內部賽馬:團隊的優勢在于有同學搭建了本地測試環境基建 , 使得他們能快速在本地迭代原型系統 。 團隊內部采用“賽馬”機制 , 讓不同同學嘗試不同的策略設計 , 在本地跑分后選擇最優方案上線 , 甚至在線部署多種策略進行嘗試 。
范式變革:AI給安全攻防帶來了什么根本性改變?
在過去 , 安全行業舉辦過許多傳統CTF或Hackathon式的安全攻防大賽 。 清華大學陳建軍副教授點出了本次比賽與傳統賽事的區別:一是對參賽選手/戰隊能力要求發生變化 , 過去要求“熟練工” , 現在要求“創新者”——選手不僅需要懂漏洞挖掘(攻防) , 還需要掌握大模型開發、智能體編排、提示詞工程等AI技能 。 二是選手/戰隊的思維模式發生變化 , 過去傳統賽事大多是“解題”式比賽 , 提前給到題目 , 大家去回答 , 最后比拼誰回答的更標準 , 但其中對創新的要求不足 。 而本次全自動滲透賽 , 本質上是在探索前人未解決的問題 , 是學術前沿的實戰化 。 它要求極高的創新能力 。
他指出 , 本次比賽的難度更高 , 因為靶標是閉源程序 , AI能獲得的信息更少 , 而國外同類比賽多基于開源軟件 。 這標志著AI滲透測試正從“輔助工具調用”走向更核心的“自主任務規劃與決策” 。
謝飛說 , 騰訊云舉辦本次活動 , 其背后目的也是想與行業一起探索 , 大模型時代的到來是否會創造共性技術趨勢 , 背后衍生的變革挑戰又需要如何通過生態去“解題” 。
從賽事結果來看 , AI的發展讓人震驚 , 但說到徹底顛覆還為時過早 。 在未來相當長的一段時間內 , 人依然會在攻防挑戰中扮演“主角” 。
AI并非萬能 , 傳統安全能力仍是基石:得分高的隊伍 , 其優勢并非單純依賴最先進的AI模型 , 而是將AI與扎實的網絡安全基礎設施(如精準的掃描器、豐富的知識庫)深度融合 。 脫離傳統安全技術的AI是“玩不轉”的 。 工程化能力是關鍵勝負手:優秀的方案普遍在AI智能體的系統工程化上做得更好 。 他們將復雜任務分解為子任務 , 并設計機制確保AI在執行中能“增量式逼近目標” , 防止在多輪對話中“失焦”或陷入“狀態空間爆炸” 。 這模擬了人腦解決問題的思維過程 , 也很好的表現了“人+AI”才是最優解的行業共識 。 價值導向是落地核心:業界討論正從“能調用多少工具”(MCP)向“能解決什么具體問題、帶來什么業務價值”(Skill)演進 。 AI在安全領域的落地 , 最終要看它能否解決真實痛點 , 而不僅僅是技術炫技 ?,F實與未來:AI能否“取代”滲透測試工程師?
關于AI替代人力 , 謝飛給出了一個大膽而具體的預測:到2026年 , 許多常規攻擊就可能由自動化機器人完成 。 他透露 , 已了解到真實入侵事件中 , 攻擊方可能只是一些技術相當初級的愛好者 , 但借助AI“氛圍黑客”工具 , 卻能發起高級別的滲透 。 這極大地降低了攻擊門檻 , 提升了攻擊效率 , 無形中放大了防守方的壓力 , 變相助推攻擊破壞力的增大 。 (“氛圍黑客”指的是利用高度自動化、智能化的工具(尤其是AI大模型驅動的攻擊平臺或智能體) , 即使攻擊者自身不具備深厚的專業技術知識 , 也能發起復雜網絡攻擊的現象 。 )
進攻端 , 目前AI更多是在模擬人類的滲透流程 , 越接近人類正常流程 , 效率越高 。 大模型的獨特優勢在于 , 處理需要理解語義、邏輯連貫的復雜業務場景漏洞 , 這是傳統自動化工具難以做到的 。 防御端 , AI可用于處理海量威脅告警數據 , 提取真正有價值的信息 , 進行降噪和初步研判 , 將安全分析師從繁瑣的告警審查中解放出來 。但無論是攻還是防 , AI的全面接管還存在巨大的挑戰—— “最后一公里”仍需人力:無論是傳統規則還是AI , 在將告警量降到極低(如99.99%)后 , 最終判斷那0.01%是否是真實威脅(漏報) , 仍然高度依賴人的經驗 。 AI的“幻覺”問題在此場景下尤為致命 。 場景適用性上 , 謝飛指出 , AI難以處理實時、高吞吐的流量分析(成本、速度不匹配) , 這部分仍需依賴規則引擎 。 AI與傳統技術是互補關系 , 而非替代 。 在可解釋性與驗證上:陳建軍教授指出 , 當前安全領域追求“可驗證的安全” , 但大模型的“黑箱”特性使其決策過程難以驗證 , 這是將AI用于關鍵安全決策時必須面對的的根本性難題 。
AI的進程已不可逆 , 當人人都會用AI提效時 , 個人與企業的核心競爭力將重新定義 。
是滿足于使用AI , 還是能設計AI的策略、駕馭AI的工程化、解決AI解決不了的問題?
騰訊云安全舉辦此類賽事 , 正是為了與業界、學界一同 , 主動走到變化的前沿 , 共同探索和定義AI時代的安全新范式 。 正如李少鵬所言 , 過去行業談論“AI來了” , 而現在 , 我們正在親眼見證并參與塑造 “AI智能安全” 的時代 。 這場冠軍之夜的復盤對話 , 不是終點 , 而是一個更智能、更自動化也更具挑戰的安全新紀元的開端 。


    推薦閱讀