Google 320亿收购背后：22秒攻防战逼出AI对AI新打法

2025年，黑客从入侵系统到转手卖给下家，中间只隔22秒。2022年，这个数字还是8小时。

Mandiant最新报告里的这组数据，把网络安全行业的焦虑摊在了台面上。攻击者用AI串连恶意软件、发起"智能体攻击"（agentic attack）的速度，已经让纯人工防御变成结构性不可能。Google Cloud安全产品总裁Francis deSouza在RSAC 2026上的判断很直接：旧的人机协同模式必须死，agentic防御是唯一出路——用AI打AI，让人类退守策略层和监控位。

22秒压缩：攻击速度逼死人工响应

deSouza给theCUBE算了一笔账。Mandiant基于50万小时应急响应数据发现，攻击链的"初始入侵→权限移交"环节被压缩了1300倍。这不是优化，是质变——防御方的响应窗口从"工作日"级别跌到了"秒表"级别。

更麻烦的是攻击门槛的坍塌。deSouza提到，AI让"本来不会出现在威胁图谱里的组织"也能自主开发恶意软件、编排多阶段攻击。技术深度不再是护城河，创意和算力才是。

这种变化把企业资产深度上云的趋势推向了危险区。云环境里的身份、数据、API调用链路复杂到人类难以实时追踪，而攻击者用AI扫描漏洞、横向移动的速度却在指数级增长。deSouza的观察是：网络韧性已经从IT部门的KPI变成了董事会的强制议题。

320亿买Wiz：Google把防线往上拔了一层

Google的应对策略分两层。技术层是"用魔法打败魔法"——部署AI驱动的agentic防御系统，在机器速度层面拦截机器速度攻击。架构层则是那笔320亿美元收购Wiz的交易。

deSouza解释这笔收购的逻辑时用了"重心上移"（up the stack）的说法。传统云安全工具聚焦基础设施层，Wiz的价值在于把保护范围扩展到身份、数据、工作负载的配置态和运行时态，覆盖云原生应用的全栈风险。换句话说，Google在补全一个认知：云安全的边界不再是虚拟机或容器，而是任何能访问数据的身份和任何能暴露数据的配置。

这笔交易也让Google Cloud的安全产品矩阵形成了闭环。Chronicle负责威胁情报和检测，Mandiant管应急响应和取证，Wiz补上云配置安全和风险可视化的缺口。三块拼图凑齐后，Google试图卖给客户的是一个"AI原生"的安全操作系统——检测、响应、预防都由智能体驱动，人类只负责设定 guardrails 和审计轨迹。

防御方的隐藏筹码：上下文

deSouza认为防守方并非全无优势。AI赋予安全团队的能力是"建模常态"——在身份、资产、云环境三个维度上建立正常行为的基线，从而以远超传统工具的速度识别异常。

这个优势的本质是数据所有权。企业对自己的云环境有全量访问权限，攻击者只能窃取片段。用deSouza的话说，"我们知道自己的系统应该怎么运行，攻击者不知道"。AI把这种信息不对称放大了：防御方可以用大模型消化海量遥测数据，实时生成风险评分和响应建议，而攻击者的AI只能在黑暗里摸索。

但隐患同样来自AI的普及。deSouza特别提到了影子AI（shadow AI）的风险——员工私自接入的生成式AI工具、未经审批的智能体应用，正在成为新的攻击面。这些工具往往绕过传统安全审查，把企业数据喂给外部模型，再带着有毒输出返回内网。Wiz的收购某种程度上也是为了解决这个问题：通过持续扫描云环境中的非授权AI工作负载，把影子AI纳入可视范围。

agentic防御的未解问题

deSouza描绘的图景里，人类角色被重新定义为"策略制定者+过程监督者"。智能体负责执行阻断、隔离、取证，人类负责设定政策边界和事后审计。这个分工听起来合理，但落地细节充满张力。

比如：当AI防御系统在22秒内自动隔离一台服务器时，如果误判了业务关键负载，谁来担责？当智能体之间的交互复杂度超过人类理解能力时，"监督"会不会沦为形式？Google的方案是强调可解释性和人机回环（human-on-the-loop）设计，但RSAC现场的从业者反馈显示，多数企业还没准备好把生杀大权交给算法。

另一个悬而未决的问题是多智能体协同的标准。攻击者的智能体可能来自不同黑产团队、使用不同协议，而防御方的agentic系统目前还是各自为战。Google在推自己的安全智能体框架，但行业层面的互操作性几乎空白。

deSouza的采访结束前留了一个开放式判断："我们现在处于agentic安全的早期阶段，就像2010年的云计算——大家都知道方向对，但具体怎么建还在摸索。"

22秒的攻防时钟已经启动，而企业的安全团队还在学习怎么给AI同事写OKR——这场人机协作的实验，你觉得多久能跑通？