###TL;DR:
最近美国搞了个全国性网络安全大赛,人类和AI Agents组队一起攻防。结果发现,AI在打简单副本时表现不错,但面对真正的“终极Boss”,还是得人类大佬出手。一句话总结:AI暂时还卷不翻安全圈的“老油条”。
如果你的印象还停留在“AI只会写写小作文、画画二次元老婆”,那你可能错过了一场精彩的人机互殴大戏。
事情是这样的:最近美国举办了一场全国网络安全竞赛[^1],参赛者不仅有顶尖的专家和大学生,还有一批被寄予厚望的AI Agent。它们的任务简单又刺激——攻破对方的网络,同时守住自己的底盘。
说白了,就是一场“数字版”的CS,但枪是代码,敌人是漏洞。
AI Agent:我承认我有赌的成分,但我真的尽力了
比赛结果显示,AI Agent们表现出了“惊人的潜力”,但距离“封神”还差一个人类队友。在简单场景下,AI可以自动扫描漏洞、写Payload、甚至完成基本的权限提升——速度堪比嗑了红牛的程序员。
但一旦进入复杂的“非标场景”,比如需要多步推理、绕过逻辑陷阱、或者识别出“这玩意儿是蜜罐不是漏洞”,AI就开始“表演翻车”——就像让一个刚拿到驾照的新手去开F1,理论都懂,但实操容易冒烟。
这跟之前阿里云搞的2025首届AI安全全球挑战赛[^2]一个道理:AI在防守端还能勉强顶住,但在进攻端,逻辑混淆、上下文污染这些“高级玩法”,暂时还是人类的优势区。
人类大佬:你们还是太年轻
参赛的人类选手,尤其是那些“老油条”安全专家,面对AI的攻击,往往能靠“经验+直觉”提前预判。“AI喜欢走最短路,那我就把坑挖在最短路上。”一位选手在赛后接受采访时表示,语气里带着一丝“这届AI不行”的凡尔赛。
而且,人类还有一个AI永远学不来的技能:“不讲武德”。
比如故意留下一个看似是后门的漏洞,里面塞满了陷阱代码——AI傻乎乎地往里冲,人类则微微一笑,转头从另一个方向渗透。这种“战术欺骗”,对于依赖模式识别的AI来说,简直是降维打击。
AI不擅长的,正是人类最擅长的
说到底,网络安全攻防不是写八股文,而是一场“非对称博弈”。攻击者永远在找系统没有明说的弱点,防守者则要猜对方会用什么骚套路。
这对AI的天然短板简直是精准打击:AI擅长“按照规则最大化收益”,但人类擅长“打破规则创造机会”。
正如Reddit上一位老哥吐槽的那样:“网络夺旗赛从来没成为过判断人才的唯一标准,它没取代过深入的技术面试。现在也一样,光靠AI去参赛的人,大概率是去送人头的。”[^3]
那AI在安全圈还有救吗?
当然有。
虽然AI在“自由搏击”环节还打不过人类,但在“重复搬砖”这件事上,AI已经是神。比如自动漏洞扫描、日志分析、恶意代码识别——这些活儿让AI干,效率直接拉满。
未来的趋势很可能是:人类负责战略、骗术和临场爆发,AI负责战术执行和7x24小时盯屏。 就像一场篮球赛,AI当控卫,人类当得分后卫——关键时刻,球还得交给人来投。
这场人机大战告诉我们一个道理:AI是很好的队友,但暂时还不是合格的老大。 所以,安全圈的各位,你们的饭碗暂时还稳。但要记住,不学AI的人类,很可能被会用AI的人类干掉。