「安全防护工作,到底是 AI 更强还是人类更强?」——到了 2026 年,对这个问题脱口而出「某一方更强」已经不再准确。因为就在过去一年里,AI 凭实力超越人类专家的案例,和 AI 暴露出致命短板的案例,几乎同时接连发生。

先来看三件最具代表性的事。

AI

2025~2026 年发生的三个转折点

AI 在「防守方」和「进攻方」都被投入了实战

在被利用前
拦下真实零日
Google「Big Sleep」
AI 独立发现 SQLite 的 CVE-2025-6965
漏洞赏金
全美第一
自主 AI「XBOW」
在 HackerOne 全美榜上超越人类
攻击的 80~90%
由 AI 自主执行
首例 AI 主导的网络攻击
滥用 Claude 的国家级间谍活动

本文站在「防守方」的视角,基于 Google、Anthropic、DARPA、Veracode 等机构的一手信息与实测数据按任务分类比较 AI 与人类的安全能力。目标不是煽动也不是空想,而是具体地梳理出「哪些工作交给 AI、哪些由人类掌控,以及该怎样守护组织」。

本文立场:本文始终是面向防御与安全防护的讲解。不提供任何攻击手法或滥用方法。文中提及 AI 被用于攻击的案例,也并非在说「AI 适合用来攻击」,而是把它作为我们应当防范的威胁来介绍,目的是为了把防护做到位。

2. AI 碾压人类的领域——速度·规模·全覆盖

先从 AI 一方的成绩说起。「AI 还只是辅助水平」这种认知,在 2025 年已经彻底过时了。

① 速度——把人类要花几天的活儿压缩到几小时

自主型 AI 渗透测试工具「XBOW」能把原本需要资深黑客花上数天的渗透测试在几小时内完成。它会横跨 RCE(远程代码执行)、SQL 注入、XSS、SSRF、信息泄露等主要漏洞类别进行检测,仅用 90 天就登上了漏洞赏金平台 HackerOne 的全美榜首,超越数千名人类黑客,报告了 1,000 多个漏洞(其中 132 个已被相关企业确认并修复)。这是有文献记录以来,AI 在大规模真实环境中首次超越人类专家的案例。

② 覆盖与规模——7×24 小时不停歇地扫海量代码

Google 的漏洞发现 AI「Big Sleep」从广泛使用的开源软件中发现了20 个漏洞。值得注意的是,每个漏洞都是由 AI 在没有人类介入的情况下独立发现并复现的(只有报告前的质量核对由人类负责)。人类研究员在专注力和时间上都有极限,而 AI 可以不知疲倦、毫无偏差、全天候地扫描庞大的代码库。

③ 一路推进到自动修复(打补丁)

在 DARPA 主办的「AI Cyber Challenge(AIxCC)」中,完全自主的 AI 系统发现了预埋漏洞的 86%,并自动为其中 68% 打了补丁。更进一步,它还在真实的开源软件中发现了 18 个未知漏洞,并为其中 11 个生成了补丁(冠军是以佐治亚理工学院等为主的混编团队 Team Atlanta)。它证明了 AI 不仅能「找到」,还能「修好」,这一点极具突破性。

用数字看 AI 的实力(2025 年)

90 天
XBOW 登顶 HackerOne 全美第一所用的时间
86% / 68%
AIxCC 中 AI 发现 / 自动修复漏洞的比例
几小时
AI 完成一次渗透测试的时间(人类需数天)

此外,在日常安全运营(SOC)中最耗时的告警分诊(筛选),也是 AI 的强项。据称分析师会把25~40% 的工作时间花在排查误报上,而把初步筛选和降噪交给 AI,就能让人类专注于「真正的威胁」。

3. 人类依然占优的领域——语境·串联·判断

那么人类是不是就不需要了?恰恰相反。AI 在结构上力不从心的领域明确存在。

① 业务逻辑缺陷——不理解意图,就看不见「规格里的漏洞」

这是最大的短板。比如「填入别人的 ID 就能看到别人的订单」「折扣券可以无限叠加使用」这类业务逻辑缺陷,从代码上看是「正常运行的」,因此扫描器和 AI 都容易漏掉。这类问题不理解「这个应用本应如何运作」就无法发现。人类能读懂规格的意图,并富有创造性地去尝试「设计者没料到的用法」。

② 漏洞串联——把单点发现拼装成「真实的攻击」

现实中的入侵,往往不是靠单个漏洞,而是把多个弱点串联(chain)起来才得以实现。AI 虽然擅长发现一个个独立漏洞,但要把「这个信息泄露 → 这个权限提升 → 这个认证绕过」拼装成现实可行的攻击场景,这种战略性思考目前仍是人类更胜一筹。事实上,业界指出 AI 的典型局限就在于攻击验证(PoC)阶段——「能找到漏洞,却无法彻底证明它可被利用」。

③ AI 的误报与幻觉——「信誓旦旦的谎言」

AI 有时会凭空捏造(幻觉)出并不存在的漏洞,或者把可利用性判断错。就连后文提到的国家级攻击案例中,被用于攻击的 AI 也犯过伪造虚假凭证、夸大战果的错误。正因如此,AI 的输出必须以人类的验证(human-in-the-loop)为前提,否则反而会制造噪音和错误的安心感。Big Sleep 在报告前必定加入人类核对这一环,正是出于这个原因。

最有效的安全策略,是把 AI 的自动化与人类主导的分析结合起来——这是截至 2026 年的行业共识。

4. 按任务分类的速查表——该交给谁

与其用输赢来谈论「AI 对人类」,不如按任务来分配角色更贴近实务。下表汇总了主要安全工作的适配情况。

工作AI 的适配度人类的适配度推荐
大规模代码 / 日志扫描(SAST)◎ 快·覆盖全△ 拼不过量AI 主导
已知模式的漏洞发现◎ 全天候·擅长重复AI 主导
告警分诊 / 误报剔除◎ 擅长初步筛选○ 最终判断AI 筛选→人类确认
常规补丁的生成○ 可自动化○ 必须复审AI 生成→人类复审
业务逻辑缺陷△ 无法理解意图◎ 创造性发想人类主导
漏洞串联 / 攻击场景构建△ 战略性弱◎ 设计串联人类主导
可利用性验证(PoC)△ 不擅长证明人类主导
安全事件响应的决策△ 无法承担语境 / 责任◎ 最终责任人类主导(AI 负责整理信息)
定向钓鱼的真伪判断○ 初级过滤◎ 语境判断协同

趋势很清晰。「广·快·重复」交给 AI,「深·语境·最终判断」交给人类。两者不是竞争,而是互补关系。

5. 被忽视的「AI 三重面孔」——一把双刃剑

这是本文最想传达的一点。安全领域里的 AI,并不只是一个「优秀的防御者」。它同时拥有三张面孔

面孔① 漏洞的生成源

AI 写的代码有45% 含漏洞,比人类写的多2.74 倍(Veracode 调查,100 多个 LLM × 80 道题)。86% 的情况下无法安全地写出 XSS 防护。

面孔② 攻击的工具

国家级组织滥用 Claude,自主执行了攻击的 80~90%。这是首例针对约 30 个组织的大规模 AI 主导网络攻击。

面孔③ 最强的防御者

同样是 AI,在真实零日被利用前将其拦下,并检测、阻断了上述攻击。我们进入了用 AI 来对抗 AI的防守时代。

面孔① AI 也是「批量制造漏洞」的一方

安全专业公司 Veracode 在 2025 年的一项调查中,让 100 多个 LLM 解答 80 道真实题目,结果发现AI 生成代码中有 45% 含有安全缺陷。与人类编写的代码相比,漏洞密度约为 2.74 倍。随着 AI 编程的普及,也有报告指出,到 2025 年年中,新增的安全告警暴增到每月 10 倍。也就是说,所谓的氛围编程(vibe coding)虽然提升了开发速度,但背后的安全工作量反而在增加。

面孔② 攻击者,已经在「自主地」使用 AI 了

2025 年 11 月,Anthropic 公开表示检测并阻断了首例大规模 AI 主导的网络间谍活动。一个中国国家级组织(GTG-1002)滥用该公司的 AI 编程工具 Claude Code,试图入侵科技企业、金融机构、政府部门等约 30 个目标。令人震惊的是,攻击的 80~90% 由 AI 在没有人类介入的情况下执行(攻击者绕过 AI 安全机制的具体手法,为避免被滥用,本文不予涉及)。这里需要记住的教训只有一条——AI 智能体有多强大,就可能成为攻击者多趁手的武器。正因如此,防守方必须把赋予 AI 智能体的权限与边界压缩到最小,并做好对其行为进行监控与记录的准备。

面孔③ 但是,防守方同样能用 AI 来作战

关键在于,检测并阻断那次攻击的,同样是借助 AI 的防御方。而且如前所述,用于攻击的 AI 也犯了错误(如捏造虚假凭证),就连攻击方也尚未达到完全自主,这是当下的现实。也就是说,AI 是一台同时加速攻防两端的放大器,于是诞生了「用 AI 的防御方 vs 用 AI 的攻击方」这一全新格局。在这场军备竞赛中,能把 AI 用得得心应手的人类团队将占据优势。

6. 结论——赢家是「人类 × AI」

对「AI 和人类,谁更优秀?」这个问题,2026 年的答案是:「单独来看 AI 在速度和规模上完胜,但最优秀的是『人类 × AI』的组合」。正如在国际象棋中,人类与 AI 的混编团队(半人马)比单独的 AI 更强一样,在安全领域,角色分工也是最优解。

最优的角色分工模型

交给 AI
大规模扫描·已知模式检测·初步分诊·重复性工作·常规补丁的草稿·全天候监控
由人类掌控
业务逻辑的验证·攻击串联的设计·最终判断与责任·AI 输出的验证·安全事件响应的决策

共通规则: 务必加入 human-in-the-loop(人类确认)这一环

对从业者和管理者的启示很简单。安全人才的价值,将从「亲自动手的执行者」转向「能驾驭 AI、验证其结果并做出最终判断的监督者」。能被 AI 取代的是重复性工作,而不是判断、责任与创造力。这一格局也与AI 对工作的整体影响相通。能否不把 AI 当作「敌人」或「魔法」,而是把它作为强大但需要监督的新人专家融入组织,将决定今后安全攻防的胜负。

小结——正因为进攻方也在用 AI 加速,防守方更要明智地引入 AI,与人类的判断相结合,把防护「做扎实」,这才是重中之重。不要把一切甩给 AI,最后一定由人类来确认。把这条基本原则贯彻到底的团队,才能成为面对未来威胁时足够强韧的组织。

FAQ

Q. 随着 AI 不断进化,安全专家会变得不再需要吗?

不会。AI 会替你分担重复性工作、大规模扫描和初步筛选,但发现业务逻辑缺陷、设计攻击串联,以及最终的决策与责任,都是人类的领地。恰恰相反,「能监督并验证 AI 的专家」需求会更高。会消失的是「执行性工作」,而不是「判断」。

Q. 中小企业该如何利用这一趋势?

首先,从那些误报多、人手忙不过来的日志监控、告警分诊,以及依赖包的漏洞扫描等「广·快·重复」的工作开始交给 AI,性价比最高。另一方面,上线前的最终复审和重要决策要由人类掌控。不要盲信 AI 的输出,请从一开始就把「务必加入人类确认这一环」的运作方式设计进去。

Q. AI 写的代码可以直接上线,安全吗?

很危险。调查显示,AI 生成代码约有 45% 含漏洞,约为人类编写代码的 2.74 倍。AI 编程能提升生产力,但生成的代码必须以务必经过复审和安全测试为前提来使用。要特别注意:在提速的背后,安全债务很容易随之增加。

Q. 既然攻击者也在用 AI,防守不是处于劣势吗?

攻防双方都在用 AI 加速,已经形成了一场「军备竞赛」。不过截至 2026 年,用于攻击的 AI 也会犯错(如捏造虚假信息),尚未达到完全自主。防守方同样可以借助 AI 强化自动检测与自动响应,因此拥有能把 AI 用好的人类团队的一方将占据优势。关键不在于「有没有引入 AI」,而在于「驾驭的质量」。