AI安全最新观察|从挖洞到举证

📅 2026/7/10 14:42:46
AI安全最新观察|从挖洞到举证
过去谈“AI做安全”很多人第一反应是写规则、跑扫描。但2025到2026年发生的变化已经不是扫描器更聪明一点。AI漏洞挖掘正在从工具问题变成工程系统问题。01发现漏洞正在变便宜传统漏洞挖掘很吃人的经验读懂业务语义、识别危险API、理解内存模型、构造边界输入、推断权限链路。大模型带来的变化是把语义理解、假设生成和工具编排压缩到同一个工作流里。这也是为什么近两年的研究和产品不再满足于“让LLM判断这段代码有没有漏洞”而是转向agent化模型不是只回答问题而是在代码库里规划、检索、实验、迭代。可疑点不值钱证据链才值钱。02最新信号AI 已经走出玩具靶场如果只看demo很容易高估AI安全能力。但过去一年多几个公开进展值得认真看Big Sleep、AIxCC、Codex Security、Glasswing、MDASH以及Fuzzing Brain V2、Firm Agent、Exploit Gym / Exploit Bench 等研究。03真正的难点不在“报出一个洞”安全团队最怕的不是工具没有发现而是工具发现了一堆“看起来很严重、实际无法落地”的东西。AI天然会遇到幻觉式漏洞、上下文缺失、证明断裂和修复不可用这四类问题。因此本文不把AI漏洞挖掘理解为“更强扫描器”而把它理解为“证据生产线”模型负责提出假设工具负责验证假设流程负责把证据变成修复闭环。04一条合格证据链的六个环节AI的价值不应该停在“我怀疑这里有洞”而应该推进到“我能说明它为什么成立、如何复现、怎样修、怎么防止再来一次”。05AI 漏洞挖掘会变成四段式流水线下一代系统很可能不是单个模型而是一条由多个agent和安全工具组成的流水线。模型负责推理工具负责验证流程负责闭环。1.语义地图建立入口、权限边界、敏感资源、危险 API、历史补丁和配置开关。2.假设工厂假设工厂生成可验证、可排序的漏洞假设而不是给出散乱告警。3.验证回路用静态分析、模糊测试、单元测试、沙箱和差异分析验证假设。4.修复闭环输出补丁、回归测试、影响范围和审计记录并追踪同类模式。06安全团队需要 VulnOpsAI漏洞挖掘成熟后会出现一种新的工程能力VulnOps。它不是买一个 AI 扫描工具而是把漏洞从发现到修复的全流程工程化。1.假设管理漏洞假设如何生成、排序、去重哪些信号值得进入验证回路。2.证据审计入口、传播、触发、影响、修复和回归证据如何自动收集。3.修复消费哪些发现进入工单哪些需要人工复核哪些沉淀为规则。4.度量闭环误报、漏报、修复时长、同类漏洞复发率如何量化。07给企业的三个落地建议不要从“自动挖 0 day”开始先做补丁差异分析、历史漏洞变体排查、危险接口审计、测试补齐和安全评审辅助。把 AI 输出绑定到证据而不是绑定到结论。不要只问“这里有没有漏洞”要问入口、路径、条件、测试、补丁和回归。建立安全发现的分级消费机制区分高可信漏洞、待复核风险、代码味道和可接受技术债。08结语下半场是证据链能力之争AI不会让漏洞挖掘变得简单。它会让低质量扫描变得更便宜也会让高质量安全工程变得更重要。下一轮安全竞争表面上看是模型能力之争深层看是证据链能力之争。谁能更快把“可疑”变成“可证”再把“可证”变成“可修”谁就会在 AI 安全时代拥有真正的护城河。作者简介:当AI开始理解代码研发的边界正在被重新定义。我们聚焦高质量、高安全、高合规的 AI 代码生成探索从「辅助编写」到「可信构建」的研发范式跃迁记录算法思想与工程实践的碰撞融合持续追踪工具演进、落地实战与合规责任对齐。陪每一位开发者在 AI 时代写出更靠谱、更可信的每一行代码。