目录
「安全防护工作,到底是 AI 更强还是人类更强?」——到了 2026 年,对这个问题脱口而出「某一方更强」已经不再准确。因为就在过去一年里,AI 凭实力超越人类专家的案例,和 AI 暴露出致命短板的案例,几乎同时接连发生。
先来看三件最具代表性的事。
2025~2026 年发生的三个转折点
AI 在「防守方」和「进攻方」都被投入了实战
拦下真实零日
全美第一
由 AI 自主执行
本文站在「防守方」的视角,基于 Google、Anthropic、DARPA、Veracode 等机构的一手信息与实测数据,按任务分类比较 AI 与人类的安全能力。目标不是煽动也不是空想,而是具体地梳理出「哪些工作交给 AI、哪些由人类掌控,以及该怎样守护组织」。
本文立场:本文始终是面向防御与安全防护的讲解。不提供任何攻击手法或滥用方法。文中提及 AI 被用于攻击的案例,也并非在说「AI 适合用来攻击」,而是把它作为我们应当防范的威胁来介绍,目的是为了把防护做到位。
2. AI 碾压人类的领域——速度·规模·全覆盖
先从 AI 一方的成绩说起。「AI 还只是辅助水平」这种认知,在 2025 年已经彻底过时了。
① 速度——把人类要花几天的活儿压缩到几小时
自主型 AI 渗透测试工具「XBOW」能把原本需要资深黑客花上数天的渗透测试在几小时内完成。它会横跨 RCE(远程代码执行)、SQL 注入、XSS、SSRF、信息泄露等主要漏洞类别进行检测,仅用 90 天就登上了漏洞赏金平台 HackerOne 的全美榜首,超越数千名人类黑客,报告了 1,000 多个漏洞(其中 132 个已被相关企业确认并修复)。这是有文献记录以来,AI 在大规模真实环境中首次超越人类专家的案例。
② 覆盖与规模——7×24 小时不停歇地扫海量代码
Google 的漏洞发现 AI「Big Sleep」从广泛使用的开源软件中发现了20 个漏洞。值得注意的是,每个漏洞都是由 AI 在没有人类介入的情况下独立发现并复现的(只有报告前的质量核对由人类负责)。人类研究员在专注力和时间上都有极限,而 AI 可以不知疲倦、毫无偏差、全天候地扫描庞大的代码库。
③ 一路推进到自动修复(打补丁)
在 DARPA 主办的「AI Cyber Challenge(AIxCC)」中,完全自主的 AI 系统发现了预埋漏洞的 86%,并自动为其中 68% 打了补丁。更进一步,它还在真实的开源软件中发现了 18 个未知漏洞,并为其中 11 个生成了补丁(冠军是以佐治亚理工学院等为主的混编团队 Team Atlanta)。它证明了 AI 不仅能「找到」,还能「修好」,这一点极具突破性。
用数字看 AI 的实力(2025 年)
此外,在日常安全运营(SOC)中最耗时的告警分诊(筛选),也是 AI 的强项。据称分析师会把25~40% 的工作时间花在排查误报上,而把初步筛选和降噪交给 AI,就能让人类专注于「真正的威胁」。
3. 人类依然占优的领域——语境·串联·判断
那么人类是不是就不需要了?恰恰相反。AI 在结构上力不从心的领域明确存在。
① 业务逻辑缺陷——不理解意图,就看不见「规格里的漏洞」
这是最大的短板。比如「填入别人的 ID 就能看到别人的订单」「折扣券可以无限叠加使用」这类业务逻辑缺陷,从代码上看是「正常运行的」,因此扫描器和 AI 都容易漏掉。这类问题不理解「这个应用本应如何运作」就无法发现。人类能读懂规格的意图,并富有创造性地去尝试「设计者没料到的用法」。
② 漏洞串联——把单点发现拼装成「真实的攻击」
现实中的入侵,往往不是靠单个漏洞,而是把多个弱点串联(chain)起来才得以实现。AI 虽然擅长发现一个个独立漏洞,但要把「这个信息泄露 → 这个权限提升 → 这个认证绕过」拼装成现实可行的攻击场景,这种战略性思考目前仍是人类更胜一筹。事实上,业界指出 AI 的典型局限就在于攻击验证(PoC)阶段——「能找到漏洞,却无法彻底证明它可被利用」。
③ AI 的误报与幻觉——「信誓旦旦的谎言」
AI 有时会凭空捏造(幻觉)出并不存在的漏洞,或者把可利用性判断错。就连后文提到的国家级攻击案例中,被用于攻击的 AI 也犯过伪造虚假凭证、夸大战果的错误。正因如此,AI 的输出必须以人类的验证(human-in-the-loop)为前提,否则反而会制造噪音和错误的安心感。Big Sleep 在报告前必定加入人类核对这一环,正是出于这个原因。
最有效的安全策略,是把 AI 的自动化与人类主导的分析结合起来——这是截至 2026 年的行业共识。
4. 按任务分类的速查表——该交给谁
与其用输赢来谈论「AI 对人类」,不如按任务来分配角色更贴近实务。下表汇总了主要安全工作的适配情况。
| 工作 | AI 的适配度 | 人类的适配度 | 推荐 |
|---|---|---|---|
| 大规模代码 / 日志扫描(SAST) | ◎ 快·覆盖全 | △ 拼不过量 | AI 主导 |
| 已知模式的漏洞发现 | ◎ 全天候·擅长重复 | ○ | AI 主导 |
| 告警分诊 / 误报剔除 | ◎ 擅长初步筛选 | ○ 最终判断 | AI 筛选→人类确认 |
| 常规补丁的生成 | ○ 可自动化 | ○ 必须复审 | AI 生成→人类复审 |
| 业务逻辑缺陷 | △ 无法理解意图 | ◎ 创造性发想 | 人类主导 |
| 漏洞串联 / 攻击场景构建 | △ 战略性弱 | ◎ 设计串联 | 人类主导 |
| 可利用性验证(PoC) | △ 不擅长证明 | ◎ | 人类主导 |
| 安全事件响应的决策 | △ 无法承担语境 / 责任 | ◎ 最终责任 | 人类主导(AI 负责整理信息) |
| 定向钓鱼的真伪判断 | ○ 初级过滤 | ◎ 语境判断 | 协同 |
趋势很清晰。「广·快·重复」交给 AI,「深·语境·最终判断」交给人类。两者不是竞争,而是互补关系。
5. 被忽视的「AI 三重面孔」——一把双刃剑
这是本文最想传达的一点。安全领域里的 AI,并不只是一个「优秀的防御者」。它同时拥有三张面孔。
AI 写的代码有45% 含漏洞,比人类写的多2.74 倍(Veracode 调查,100 多个 LLM × 80 道题)。86% 的情况下无法安全地写出 XSS 防护。
国家级组织滥用 Claude,自主执行了攻击的 80~90%。这是首例针对约 30 个组织的大规模 AI 主导网络攻击。
同样是 AI,在真实零日被利用前将其拦下,并检测、阻断了上述攻击。我们进入了用 AI 来对抗 AI的防守时代。
面孔① AI 也是「批量制造漏洞」的一方
安全专业公司 Veracode 在 2025 年的一项调查中,让 100 多个 LLM 解答 80 道真实题目,结果发现AI 生成代码中有 45% 含有安全缺陷。与人类编写的代码相比,漏洞密度约为 2.74 倍。随着 AI 编程的普及,也有报告指出,到 2025 年年中,新增的安全告警暴增到每月 10 倍。也就是说,所谓的氛围编程(vibe coding)虽然提升了开发速度,但背后的安全工作量反而在增加。
面孔② 攻击者,已经在「自主地」使用 AI 了
2025 年 11 月,Anthropic 公开表示检测并阻断了首例大规模 AI 主导的网络间谍活动。一个中国国家级组织(GTG-1002)滥用该公司的 AI 编程工具 Claude Code,试图入侵科技企业、金融机构、政府部门等约 30 个目标。令人震惊的是,攻击的 80~90% 由 AI 在没有人类介入的情况下执行(攻击者绕过 AI 安全机制的具体手法,为避免被滥用,本文不予涉及)。这里需要记住的教训只有一条——AI 智能体有多强大,就可能成为攻击者多趁手的武器。正因如此,防守方必须把赋予 AI 智能体的权限与边界压缩到最小,并做好对其行为进行监控与记录的准备。
面孔③ 但是,防守方同样能用 AI 来作战
关键在于,检测并阻断那次攻击的,同样是借助 AI 的防御方。而且如前所述,用于攻击的 AI 也犯了错误(如捏造虚假凭证),就连攻击方也尚未达到完全自主,这是当下的现实。也就是说,AI 是一台同时加速攻防两端的放大器,于是诞生了「用 AI 的防御方 vs 用 AI 的攻击方」这一全新格局。在这场军备竞赛中,能把 AI 用得得心应手的人类团队将占据优势。
6. 结论——赢家是「人类 × AI」
对「AI 和人类,谁更优秀?」这个问题,2026 年的答案是:「单独来看 AI 在速度和规模上完胜,但最优秀的是『人类 × AI』的组合」。正如在国际象棋中,人类与 AI 的混编团队(半人马)比单独的 AI 更强一样,在安全领域,角色分工也是最优解。
最优的角色分工模型
共通规则: 务必加入 human-in-the-loop(人类确认)这一环
对从业者和管理者的启示很简单。安全人才的价值,将从「亲自动手的执行者」转向「能驾驭 AI、验证其结果并做出最终判断的监督者」。能被 AI 取代的是重复性工作,而不是判断、责任与创造力。这一格局也与AI 对工作的整体影响相通。能否不把 AI 当作「敌人」或「魔法」,而是把它作为强大但需要监督的新人专家融入组织,将决定今后安全攻防的胜负。
小结——正因为进攻方也在用 AI 加速,防守方更要明智地引入 AI,与人类的判断相结合,把防护「做扎实」,这才是重中之重。不要把一切甩给 AI,最后一定由人类来确认。把这条基本原则贯彻到底的团队,才能成为面对未来威胁时足够强韧的组织。
FAQ
Q. 随着 AI 不断进化,安全专家会变得不再需要吗?
不会。AI 会替你分担重复性工作、大规模扫描和初步筛选,但发现业务逻辑缺陷、设计攻击串联,以及最终的决策与责任,都是人类的领地。恰恰相反,「能监督并验证 AI 的专家」需求会更高。会消失的是「执行性工作」,而不是「判断」。
Q. 中小企业该如何利用这一趋势?
首先,从那些误报多、人手忙不过来的日志监控、告警分诊,以及依赖包的漏洞扫描等「广·快·重复」的工作开始交给 AI,性价比最高。另一方面,上线前的最终复审和重要决策要由人类掌控。不要盲信 AI 的输出,请从一开始就把「务必加入人类确认这一环」的运作方式设计进去。
Q. AI 写的代码可以直接上线,安全吗?
很危险。调查显示,AI 生成代码约有 45% 含漏洞,约为人类编写代码的 2.74 倍。AI 编程能提升生产力,但生成的代码必须以务必经过复审和安全测试为前提来使用。要特别注意:在提速的背后,安全债务很容易随之增加。
Q. 既然攻击者也在用 AI,防守不是处于劣势吗?
攻防双方都在用 AI 加速,已经形成了一场「军备竞赛」。不过截至 2026 年,用于攻击的 AI 也会犯错(如捏造虚假信息),尚未达到完全自主。防守方同样可以借助 AI 强化自动检测与自动响应,因此拥有能把 AI 用好的人类团队的一方将占据优势。关键不在于「有没有引入 AI」,而在于「驾驭的质量」。