网易首页 > 网易号 > 正文 申请入驻

10个月杀入赏金榜:自主攻击AI已拿下中阶漏洞,但天花板清晰可见

0
分享至

很多人以为,AI攻防还停留在辅助写Payload的“脚本小子”阶段。但大约十个月前,知名漏洞猎手Jason Haddix在一场访谈中抛出了一个反直觉的事实:能自主发现Web漏洞的智能代理,已经悄无声息地爬上了月度漏洞赏金排行榜,成绩还能与人类选手一较高下。他自己都承认,这个里程碑来得比预料中快得多。

Haddix是攻击性安全领域少有的跨界专家,红队出身,常年领导渗透测试项目,还编写了业内广泛引用的《漏洞猎手方法论》。

他曾担任育碧首席信息安全官、惠普渗透测试总监,近期的大动作则是对AI和大语言模型系统本身进行安全评估。这样一位对自动化边界再熟悉不过的从业者,对AI黑客能力的判断自然带着几分苛刻。也正因如此,他在YouTube频道NetworkChuck那期如今播放量约5.2万次的采访里给出的答案,才格外引发关注。

当时主持人抛出一个直白的问题:眼下AI与黑客行为交叉领域最有趣的事情是什么?Haddix几乎没有犹豫,直接把焦点钉在了自主代理上。他观察到,一批专门从事“Web漏洞自主发现”的智能体,开始在每月的漏洞赏金打榜里稳定贡献分值。

这些代理能够扫描目标应用,识别出SQL注入、跨站脚本这类安全缺陷,甚至在一些赏金任务里提交了有效报告。他强调,自己原本以为整个行业距离这个节点至少还要再熬上几年,结果现实已经提前交卷。

如果只是“自动化工具能挖洞”这个结论,安全圈的老兵可能不屑一顾。长久以来,漏洞扫描器早就可以抓取显眼的漏洞指纹。但Haddix点出的关键是“自主”二字——这些代理并非按照固定规则去匹配签名,而是像一名初级测试员那样,自行规划探测路径、组合利用已知的攻击模式、把发现的结果整理成报告。它们做出判断的原始驱动力,来自海量公开漏洞报告、技术博客、安全公告里沉淀下来的“中等级别漏洞”模式。这些模式重复出现次数足够多、文档化程度足够高,恰好成为机器学习模型的优质养料。

于是,一张能力地图浮现了出来:那些被反复记录、反复利用、反复修复的漏洞类型——跨站脚本(XSS)、跨站请求伪造(CSRF)、服务器端请求伪造(SSRF)、不安全的直接对象引用、基础配置错误——正是智能代理当前的主战场。这些漏洞的触发逻辑相对固定,攻击向量已形成套路,只要训练数据涵盖足够多的变种,代理就能在陌生目标上复现发现过程。换句话说,凡是“模式可复述”的漏洞,AI已经展现出逼近人类中阶选手的水平。

然而,整个访谈中最值得细品的部分并不是能力展示,而是天花板在哪。Haddix用了一个很形象的分类:代理擅长的是“中等级别”漏洞,也就是那些被写过无数篇Writeup、被反复制成教程、被各种CTF比赛当作基础题的漏洞类型。这些漏洞的利用手法几乎成了一种可被统计分布刻画的“语言”。而真正拖慢代理脚步的,恰恰是那些从来没有被完整记录过的创意思路——人类研究员从无数次失败里累积出的“肌肉记忆”。

这种隐形经验通常不会出现在任何公开报告里。比如,某个特定Web框架在某种罕见编码组合下的解析差异,可能导致一个极隐蔽的模板注入;又或者,攻击者通过阅读目标应用的JavaScript源码,从一句不经意的注释推断出内部API的命名规则,再顺手拼接出一个越权访问链。这些依靠直觉、联想和大量背景知识才能完成的“奇技淫巧”,因为缺乏成文的训练语料,对当前以数据驱动的自主代理来说,几乎是一堵无法穿透的墙。

正因如此,Haddix的构想中出现了一个清晰的分层模型。未来攻击性安全的人力结构,会逐渐演变成两个截然不同的层级:顶层是一个规模精炼的精英人类测试者池,专门对付那些需要从零构想攻击路径的高阶目标;底层则由持续运转的自主代理构成,它们按照设定节奏对资产进行高频侦察,实时消化新发现的已知漏洞变种,把XSS、CSRF一类的常规缺陷快速筛出。这并非简单的“AI替代人类”剧本,而是一次注意力重分配——人的创造力被有意识地保留在那些真正依赖灵光一现的地方。

更令Haddix本人兴奋的部分,其实并不在Web渗透测试这个老本行,而是逆向工程领域的悄然变化。自从MCP(模型上下文协议)服务器开始铺开,像Ghidra和IDA这样的反汇编工具,正被一批先行者加上自然语言交互层。过去,逆向工程师面对一堆汇编代码,必须靠肉眼巡视、打标签、交叉引用分析来试图让控制流图在自己脑子里拼凑出一个完整的逻辑线索。这个过程极为消耗脑力,也高度依赖个人经验,很多时候,发现一个可利用的内存破坏漏洞,只是因为某一瞬间恰好注意到了某个寄存器的异常偏移。

现在,借助MCP跑起来的辅助工具,这个“脑内翻译”的环节某种程度上被外包给了大语言模型。工程师不再需要全程盯着反汇编界面猜想模式,而是可以直接用自然语言向工具询问某段代码的逻辑意图,让模型自动标出可疑的结构,或解释一段汇编片段背后可能的数据流路径。人则把注意力回收到更高层的攻击假设和漏洞利用构思上,形成一种人机协作的新节奏。

这种变化带来的冲击,可能比Web端自主代理更加深远。因为它把攻击性安全中最为隐性的知识——那种老手在密密麻麻的十六进制里“闻”到异常气味的直觉——第一次变成了可以部分被工具复现的对象。一旦这些隐性的逆向经验被持续沉淀、标注并反哺到工具链里,整个攻防速度的基准线将被重新刻画。

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐
事发早高峰!上海高架发生离奇事故,网友: 怎能撞成这样…原因找到了!

事发早高峰!上海高架发生离奇事故,网友: 怎能撞成这样…原因找到了!

新浪财经
2026-07-04 08:38:27
马丁内斯能做到吗?世界杯历史上没有主帅率队淘汰自己的祖国

马丁内斯能做到吗?世界杯历史上没有主帅率队淘汰自己的祖国

懂球帝
2026-07-03 15:05:08
安切洛蒂:内马尔已经能踢满90分钟比赛,坐替补他并不开心

安切洛蒂:内马尔已经能踢满90分钟比赛,坐替补他并不开心

懂球帝
2026-07-04 03:05:08
谷歌清华杀妻案再延期!案发两年半凶手家疑砸千万请大律师续命,每次都甩锅遗传精神病?

谷歌清华杀妻案再延期!案发两年半凶手家疑砸千万请大律师续命,每次都甩锅遗传精神病?

英国报姐
2026-07-04 00:28:36
普京宣布俄军已“完全解放”卢甘斯克

普京宣布俄军已“完全解放”卢甘斯克

新华社
2026-07-04 07:38:02
国务院这份教育规划,把“中考55分流”扫进了历史

国务院这份教育规划,把“中考55分流”扫进了历史

解说阿洎
2026-07-04 08:42:27
昆明试验列车撞人致11死2伤,调查报告公布

昆明试验列车撞人致11死2伤,调查报告公布

界面新闻
2026-07-03 17:46:55
西安赛格事件最新!所有商户消费款项,统一流入运营账户,引热议

西安赛格事件最新!所有商户消费款项,统一流入运营账户,引热议

火山詩话
2026-07-03 12:26:19
斯卡洛尼:我们总要看到积极的一面,这支球队永不言弃

斯卡洛尼:我们总要看到积极的一面,这支球队永不言弃

懂球帝
2026-07-04 09:05:07
老板你穿成这样,生意不好是不可能的!有那味了

老板你穿成这样,生意不好是不可能的!有那味了

舞指飞扬
2026-07-04 09:15:07
大跌近0.8元/升,汽柴油“第4跌”创最大降价后,下次7月17日调价

大跌近0.8元/升,汽柴油“第4跌”创最大降价后,下次7月17日调价

猪友巴巴
2026-07-04 10:07:48
中央气象台7月4日06时继续发布暴雨橙色预警

中央气象台7月4日06时继续发布暴雨橙色预警

每日经济新闻
2026-07-04 06:21:05
全国92,95汽油大降950元/吨,95汽油跌回7字头,下次油价或再降

全国92,95汽油大降950元/吨,95汽油跌回7字头,下次油价或再降

猪友巴巴
2026-07-03 18:35:03
世界杯太刺激了:随着阿根廷3-2险胜,16强仅剩最后一个席位

世界杯太刺激了:随着阿根廷3-2险胜,16强仅剩最后一个席位

侧身凌空斩
2026-07-04 08:47:18
医生提醒:若长期一天只吃两顿饭,用不了半年,或患上这4种疾病

医生提醒:若长期一天只吃两顿饭,用不了半年,或患上这4种疾病

路医生健康科普
2026-06-29 12:05:03
华南理工大学再次向中山大学“输送”校长!中央批准:唐洪武同志任中山大学校长(副部长级)

华南理工大学再次向中山大学“输送”校长!中央批准:唐洪武同志任中山大学校长(副部长级)

矿材网
2026-07-04 02:33:44
美媒:伊朗谈判代表乘机回国,伊朗部队通报称以色列计划袭击飞机

美媒:伊朗谈判代表乘机回国,伊朗部队通报称以色列计划袭击飞机

勇士军武闲谈
2026-07-04 08:28:20
贝克汉姆14岁的女儿小七怎么如此成熟了,好像少妇

贝克汉姆14岁的女儿小七怎么如此成熟了,好像少妇

西楼知趣杂谈
2026-06-13 19:52:21
歌手2026第七期帮唱嘉宾出炉,阵容离谱!网友:请不到人就别办

歌手2026第七期帮唱嘉宾出炉,阵容离谱!网友:请不到人就别办

星宿影视鸭
2026-07-03 14:29:23
广西护士被举报 “卖淫” 遭开除,单位可独立认定员工违法失德吗

广西护士被举报 “卖淫” 遭开除,单位可独立认定员工违法失德吗

京都律师事务所
2026-07-03 20:26:16
2026-07-04 10:35:00
碳基打工人
碳基打工人
坐标北京,靠咖啡续命,靠小红书下饭的普通人类。
267文章数 51关注度
往期回顾 全部

科技要闻

iPhone 18 Pro泄密影响恶劣,印度调查塔塔

头条要闻

阿根廷加时赛3-2绝杀佛得角 世界杯最大黑马昂首出局

头条要闻

阿根廷加时赛3-2绝杀佛得角 世界杯最大黑马昂首出局

体育要闻

今夏最动人告别!世界从此记住佛得角

娱乐要闻

海来阿木孕期出轨指控掀起全网热议

财经要闻

韩国股市杠杆失控:450亿美元资金狂飙

汽车要闻

方程豹钛9内饰曝光 用上了长联屏设计/下半年上市

态度原创

本地
游戏
房产
家居
手机

本地新闻

国内足球之旅?这座小城给你高分答案

魔兽世界:时光服玩家吵翻天,鸟德改动实装,到底有哪些变化?

房产要闻

总裁空缺17个月、现金缺口超1000亿:金融局“局外人”入局万科

家居要闻

传奇筑 日常诗

手机要闻

iPhone 18系列或涨价 两项iOS 27新AI功能仍缺席

无障碍浏览 进入关怀版