Google花320亿买Wiz背后：黑客攻破系统只要22秒

2022年，黑客从入侵系统到转移控制权需要8小时。2025年，这个数字变成了22秒。不是技术迭代，是攻击方式的根本换血——AI把网络攻防变成了机器对机器的闪电战。

Francis deSouza在RSAC 2026大会上扔出这组数据时，台下安静了几秒。作为Google Cloud安全产品总裁，他刚完成一笔让行业侧目的收购：320亿美元拿下Wiz。这笔钱的去向，和这22秒的压缩曲线，指向同一个问题——当攻击速度超越人类反应极限，防御系统该怎么设计？

攻击民主化：脚本小子也能发动国家级攻势

deSouza把现状形容为"威胁行为者的涌现"。过去需要深厚技术功底才能开发的恶意软件，现在AI能代劳。更麻烦的是"代理式攻击"——多个恶意程序被AI串联成自动化链条，分工协作、自主决策。

「那些原本不会出现在威胁版图里的组织，现在能利用AI自己开发恶意软件，还能把恶意软件串联起来，形成代理式攻击。」deSouza对theCUBE的Dave Vellante说。

这对企业意味着双重压力。资产持续向云端迁移，攻击面指数级扩张；同时攻击门槛断崖式下跌。董事会不得不把网络韧性从IT部门议题升级为战略级议程——不是要不要做，是能不能活下来的问题。

Google Cloud的判断是：纯人工防御在结构上已经不可能成立。"时间以秒和分钟计算，"deSouza说，「不可能用纯人工防御对抗AI攻击。旧有的人工防御或人工介入模式必须改变。」

防御代理化：用机器速度对抗机器速度

替代方案是"代理式防御"——AI对AI。人类退居二线，负责制定策略、设置护栏、监督流程，把实时响应交给自动化系统。

这个转变的底层逻辑是上下文优势。AI让安全团队能建模"正常行为"的基线：身份怎么活动、资产如何交互、云环境的标准状态是什么。异常检测从规则匹配升级为模式识别，速度远超传统工具。

这正是Wiz的价值锚点。这家云安全公司把防护重心"向上堆叠"——不是盯着基础设施层，而是聚焦应用和工作负载层的安全态势。320亿美元的定价，买的不是技术堆料，是云原生安全的话语权重新定义。

但新风险同步滋生。deSouza提到"影子AI"——员工私自使用的AI工具，比如OpenClaw这类未经审批的助手。它们像当年的影子IT一样，在可视范围外制造暴露面。攻击者还没大规模利用这个缺口，但防御者已经需要同时盯防内外两条战线。

收购背后的战略算计

Wiz并入Google Cloud的时机耐人寻味。微软Azure和AWS都在加固安全版图，Google需要用一笔重磅交易证明自己不是跟随者。

更深层看，这笔收购回应了一个产品哲学问题：云安全到底该放在哪一层？传统思路是网络层、端点层、身份层层层设防。Wiz的路径是统一视图——把多云环境的配置风险、权限蔓延、数据暴露面整合成一张图。

这和Google的AI基础设施形成咬合。Vertex AI、Gemini模型、Chronicle安全运营平台，加上Wiz的云态势管理，能拼出一套"生成式AI原生"的防御体系。机器生成威胁，机器识别异常，机器执行响应，人类只在关键节点介入。

deSouza的表述很克制，没有渲染"革命性"或"颠覆性"。但数字不会说谎：Mandiant的50万小时应急响应数据，22秒的中位停留时间，320亿美元的收购价码——这三组数字勾勒出的紧迫感，比任何形容词都锋利。

企业客户的实际体验如何？一位在RSAC现场的安全负责人提到，他们测试过几家云厂商的AI安全助手，发现响应速度确实在提升，但"误报率还没稳定到能完全放手"。代理式防御的理想状态是人在回路外，现实状态是人在回路边——随时准备被警报拽回来。

Google Cloud的赌注是，Wiz的技术栈能把"回路边"的距离拉得足够远，让人类专注策略而非救火。这笔320亿的学费，能不能买到机器速度下的从容？