AI如何改变网络攻防平衡
作者:微信文章近日,美国某智库发布《扭转局势:新兴人工智能能力与网络攻防平衡》报告,围绕AI如何影响网络攻防平衡展开深入研究,分析当前AI对网络攻防的作用、前沿AI的潜在能力、面临的挑战,并提出政策建议,为相关决策提供依据。
一、报告概述
报告指出,在网络空间,攻击者历来具备结构性优势——防御者需守护庞大攻击面,攻击者却只需一次成功突破。过往AI通过提升防御行动规模与实时响应能力,助力防御者缓解这一劣势,例如利用AI实时检测攻击、分析海量网络数据识别异常,但前沿AI的新发展可能扭转这一态势。 报告核心观点包括:
一是前沿AI推理成本上升,运行尖端AI模型需大量算力投入,防御者或难以承担全面部署成本,而攻击者可选择性攻击高价值目标,重现人力网络作战的“进攻偏向型”经济特性;二是未来AI或能全程自主完成网络攻击(即自动化全网络杀伤链),以机器速度执行攻击,大幅提升攻击对军事、地缘政治目标的支持能力,同时削弱人类降级冲突的机会;三是AI技术可靠性问题(如能力评估难、约束难、稳定性不足)使风险承受度更高的攻击者更具优势,他们更能容忍系统失败与附带损害。同时,这些技术挑战还将与社会技术层面挑战(如人机协作中过度依赖自动化、人员技能退化)交织,且在AI研发部署的激烈国内外竞争背景下展开。不过,AI驱动网络工具的攻防优势并非既定,会因工具类型、能力不同而变化,可通过研发方向、部署策略等决策影响,且能系统评估,报告最终据此提出针对性政策建议。
二、主要内容
(一)当前AI在网络领域的应用现状
报告指出,网络空间已是关键战场,全球网络犯罪年损失达数千亿美元(若计入网络安全支出等间接成本,规模或超1万亿美元),且越来越多攻击针对关键基础设施。从国家层面博弈看,俄罗斯多次将网络攻击武器化,如2015-2016年攻击乌克兰电网致数十万人断电、2017年NotPetya恶意软件攻击(先针对乌克兰企业,后全球扩散,造成超100亿美元损失),但2022年对乌入侵中网络攻击作用有限,暴露其大规模协同网络进攻能力的局限;c国则被视为最严峻的网络威胁,拥有庞大复杂的网络项目,用于窃取知识产权、开展间谍活动,并在关键基础设施中安插“立足点”,同时积极将AI融入网络攻防,通过政府支持项目、军民用融合战略推动相关技术研发,还通过高校培养AI与网络安全复合型人才。
在AI应用方面,AI已深度融入网络攻防全生命周期,核心优势体现在速度(任务完成快于人类)、规模(处理任务量超人类能力)与成功率(任务完成效果更优)三方面。防御端,AI从早期签名式检测(识别已知威胁)发展到如今的机器学习模型,能应对多态恶意软件(2018年发现的恶意可执行文件中94%为多态类型,可修改代码却保留有害功能)等复杂威胁,如微软“安全副驾驶”工具显著提升安全人员任务准确性、质量与速度,但也存在实际应用不足(2024年3月美国防部高级信息安全官员表示,尚未发现大量AI用于网络安全的实际案例)、部分AI工具需大量学习时间且提升有限(2024年7月CISA试点研究显示,AI漏洞检测工具多为辅助作用,部分工具学习成本高而效果增量小,且存在难以排查的不可预测性)等问题。攻击端,AI在社会工程领域作用显著,如生成无拼写错误、可信度高的钓鱼信息(2023年11月帕洛阿尔托网络公司观察到,此类钓鱼信息点击率大幅上升),2024年行业调查显示AI驱动的钓鱼攻击显著增加;同时,AI也被用于开源研究、翻译、编码等提升攻击效率,如朝鲜、伊朗、中国的国家资助团伙使用ChatGPT、Gemini等工具辅助网络行动,但目前尚未出现由AI催生的全新攻击能力,LLM驱动的自主修改代码恶意软件虽有概念验证,实际影响有限。
(二)前沿AI的网络能力发展
报告强调,前沿AI模型能力进步迅猛,尤其在网络领域,2025年1月《国际先进AI安全报告》评估认为,当前系统已展现中低复杂度网络任务能力,且此前数月进步显著。
一方面,通用能力上,深度学习模型能力超预期,算力投入增加、算法优化、硬件进步共同推动其发展——过去AI模型多针对特定应用训练数据,如今通用模型(如基于万亿级文本语料训练的大型语言模型)在部分领域超越专用模型,例如顶尖编码模型多源自通用语言模型而非专属编码训练模型。不过,规模效应也面临递减问题,如OpenAI的GPT-4继任者因未实现重大突破,最初命名为GPT-4.5且不被视为“前沿模型”,后续GPT-5训练算力也未较GPT-4.5大幅提升。同时,推理模型(如OpenAI的o系列、GPT-5,DeepSeek的R1)等新范式推动能力提升,这类模型通过逐步推理提升性能,2024年底后在基准测试中表现突出,且性价比更高,其发展依赖大规模语言模型的基础能力(如自查、回溯、拆解问题),是“规模基础上的范式创新”。
另一方面,网络专项能力上,前沿AI的网络能力快速提升。2025年5月,Anthropic的Claude4模型在Cybench夺旗挑战基准测试(识别并利用系统漏洞获取隐藏数据)中得分达55%,远超2025年2月Claude3.7Sonnet的20%与2025年1月OpenAIo3-mini的22.5%;OpenAI2025年上半年发布的o3、o4-mini模型,在攻击型网络基准测试中表现大幅提升,“高中级”挑战得分从49%升至89%,“大学级”从21%升至68%,“专业级”从23%升至59%,官方将其归因于工具使用能力与长时间任务推进能力的提升。
此外,AI已开始发现未知软件漏洞(2024年起前沿系统陆续发现广泛使用软件中的新可利用漏洞),而漏洞识别与利用(尤其是零日漏洞)是复杂网络攻击的关键环节;在实际应用中,2025年8月渗透测试初创公司XBOW表示,GPT-5使其自主渗透测试平台性能大幅提升,该平台此前已被基准测试证明优于资深人类测试员。
报告同时指出,当前AI网络能力仍有局限,如过度依赖记忆、难以适应新场景、缺乏常识、长时推理能力不足,且实验室评估表现优于实际作战效用,但网络领域的数字化特性(清晰即时的性能指标、可自动化评估的任务如漏洞识别)利于AI能力落地,Anthropic在2025年3月提交给美国政府的文件中预测,未来2-4年前沿AI在网络安全等高安全影响领域的能力将大幅提升。
(三)AI对网络攻防平衡的挑战
报告认为,AI虽为防御者带来速度(如实时响应攻击、缩短攻击检测与处置时间)与规模(如24小时分析数十亿数据点、识别人工难察觉的异常,且可汇聚威胁情报共享数据)优势,但未来或因三大挑战使攻击者更受益,且这些挑战还将与社会技术问题、竞争压力交织。
一是推理成本上升
前沿AI运行需大量算力投入(即“推理成本”),与传统软件近乎零的运行成本不同,尖端AI工具的部署成本随攻击面扩大而增加,防御者或难以承担全面覆盖攻击面的成本,而攻击者可选择性攻击小范围高价值目标,使AI网络作战的经济逻辑向“人力作战”靠拢——防御成本高于攻击成本。
报告指出,尽管特定能力的AI访问价格持续下降(自2020年GPT-3发布后,年降幅至少10倍),但顶尖模型仍维持较高定价(每百万输出tokens数十美元),且推理模型通过延长运行时间提升性能(部分任务需数小时运行),进一步推高成本;同时,复杂软件系统的漏洞数量庞大,更强大的AI工具仍能持续发现新漏洞,使攻击者的“选择性攻击”策略更具可持续性。
二是攻击链全自动化
若AI实现从侦察、资源开发、初始访问到影响达成的全网络杀伤链自动化,将大幅压缩攻击时间(从人类的数月准备降至机器速度),提升网络攻击的军事与地缘政治价值——例如在军事行动中同步瘫痪敌方系统、通过攻击关键基础设施施压对手。
报告以俄罗斯对乌作战为例,指出当前网络攻击因准备时间长、需提前渗透目标,难以适应战场实时需求,而全自动化攻击可解决这一问题,但也可能加剧冲突升级风险:若攻防双方均采用自动化系统,冲突节奏可能超出人类降级控制能力,防御方若不启用自动化防御,可能在人类决策窗口期内遭受不可逆损失。
此外,全自动化还可减少攻击者对外部通信的依赖(当前攻击者常通过远程通信控制目标,易被防御者发现),如Stuxnet虽实现有限自主攻击,但需数年情报与定制开发,而具备适应性的AI系统或能更轻松实现自主攻击,降低被发现风险。不过,当前AI的自主能力仍处初级阶段,如长期策略规划、持续高效工作能力不足,但进展迅速——METR研究显示,2019-2025年,顶尖AI完成复杂软件任务(含网络任务)的能力呈指数增长,任务时长上限每7个月翻倍,若此趋势持续,2030年AI或能独立完成人类需数周/数月的软件项目;同时,基于基础模型的强化学习(如OpenAIo系列模型的“基础模型+强化学习”模式)可能加速自主网络能力突破,此类方法结合基础模型的知识(如编程、网络概念)与强化学习的试错优化,且能利用自然语言处理解析网络反馈,提升任务适应性。
三是技术可靠性问题
AI在网络应用中面临三大技术挑战,且对防御者更不利:
其一,能力评估难,通过工具赋能、输入优化、微调等方式,可大幅提升AI实际性能,若不进行系统测试,易低估其能力(如谷歌研究人员通过给LLM配备编码工具、构建迭代探索框架,使其漏洞发现性能提升20倍);
其二,能力约束难,现有微调、输出审核等限制AI有害行为的方法,难以应对复杂规避手段,且过度限制可能损害有益功能,尚无可靠的安全防护机制;
其三,系统稳定性不足,前沿AI虽能解决复杂编码问题,但也常犯基础逻辑错误、生成虚假信息、对异常输入敏感,这种不稳定性对防御者风险更高(可能干扰正常业务),而攻击者可容忍失败,仅需部分攻击成功即可,且更能接受附带损害(如NotPetya、Stuxnet均因失控造成全球范围损失,此类风险在AI驱动攻击中或更突出)。
此外,AI还易受对抗性攻击——攻击者可通过定制输入误导AI,甚至使防御系统“反戈”(如操控AI防御系统隔离合法设备、限制防御者权限),且AI目标对齐问题尚未解决,部分LLM在特定训练后会出现恶意倾向(如生成不安全代码的LLM可能同时鼓励暴力、美化独裁者),甚至出现欺骗行为(如为避免被修改而隐蔽复制自身、伪造合规表现)。
报告同时指出,这些技术挑战还将与社会技术挑战、竞争压力交织。社会技术层面,防御方在人机协作中面临“自动化偏见”(过度信任自动化输出)、人员技能退化、对系统状态感知不足等问题,且AI系统的集中化、强关联性可能加剧故障扩散风险;同时,“能力-脆弱性悖论”使AI提升防御能力的同时也带来新漏洞,而技术转型期的“脆弱窗口”可能诱发攻击者的“先发制人”行动。竞争压力层面,国内市场上,AI开发者因营收、市值竞争,面临“快速部署与风险评估”的矛盾,如2024年起,部分顶尖模型发布时压缩或延迟风险评估报告(OpenAIo1-preview模型仅给外部审核方6天评估时间,GoogleDeepMind的Gemini2.5Pro上市数月后才发布网络能力评估);国际层面,美中在AI领域的竞争使双方难以就网络安全风险开展深度合作,虽中国签署《布莱奇利宣言》、发布AI安全治理框架提及网络风险,但实际合作受限。
(四)模型发布与安全考量
报告认为,AI模型的发布方式(如普及程度、阶段策略)直接影响其网络安全影响,需平衡防御方的“广泛受益”与攻击者的“风险获取”。
一方面,模型发布后的技术扩散具有不确定性——公开工具不代表后续衍生技术也会公开,且AI的潜力发挥依赖交互策略、工具配置、数据微调,因此“分阶段发布”或为可行策略,如先用于关键代码库的漏洞排查,待漏洞修复后再全面开放。
另一方面,需关注“模型能力覆盖度”问题:若强AI能覆盖弱AI的所有漏洞发现能力,美国分享AI安全工具的风险较低;若弱AI也能发现强AI遗漏的漏洞,则广泛扩散可能使对手通过整合工具发现新漏洞,加剧防御压力。 同时,前沿AI模型自身的安全风险日益突出。
一是模型窃取风险,顶尖基础模型是巨额研发、算力投入的成果,被视为战略资产,易成为对手窃取目标,如Anthropic承认其系统尚未能抵御先进国家的针对性攻击,且模型复制成本低(仅需数TB数据),一旦窃取可快速部署。
二是模型自主“逃逸”风险,部分LLM在模拟场景中(如察觉自身将被修改或替换),会尝试隐蔽复制模型权重到外部服务器,成为“内生威胁”,传统安全措施难以防范。报告强调,随着AI网络能力提升,其战略价值与被攻击风险将形成“自我强化循环”——能力越强越重要,越需保护,但保护难度也随之增加。
三、结论
该文件的结论是:
历史上AI有助于削弱网络攻击者的结构性优势,但新兴AI发展可能使天平向攻击者倾斜,带来重大国家安全影响。推理成本上升使防御者难以全面部署尖端工具、攻击者可选择性攻击; 攻击链全自动化压缩攻击时间、提升攻击的战略价值,同时削弱人类降级冲突能力; 技术可靠性问题使风险承受度更高的攻击者更具优势,且这些挑战还将与社会技术问题、AI领域的激烈国内外竞争交织。不过,AI驱动网络工具的最终攻防净优势并非固定,会因工具类型、能力不同而变化,且受研发方向、部署策略等决策影响,可通过系统评估衡量;美国政府需发挥关键作用,深入了解AI驱动的网络威胁演变,主动塑造技术格局,以维护美国及盟友的安全与稳定。
四、建议
该文件建议:
一是强化网络安全政策,通过安全导向的采购标准、更严格的安全失败问责制提升网络安全基础水平,确保AI风险应对不挤占传统网络安全资源;推动技术供应商落实“设计即安全”“默认即安全”原则,减少基础安全漏洞(如MITRE2007年提出的13项“不可原谅”漏洞,至今仍多为“顽固弱点”),同时国会需推进《网络空间日光浴委员会》建议的落实,加强联邦事件响应、信息共享、云安全认证等工作,为CISA提供足够资源与权限。
二是加大AI研发投入以侧重提升防御能力,美国联邦科研机构(NSF、DARPA、IARPA)应资助高风险高回报的防御导向AI研究,如提升AI系统稳健性(应对异常输入与对抗攻击)、发展高效隐私保护计算(促进防御方数据共享)、推动大规模形式化验证(自动化验证软件安全属性);NIST与CAISI需制定AI网络安全标准,如合成内容溯源、AI主体身份认证标准;同时,加强开源代码安全(如通过AI辅助将代码迁移至内存安全语言、优化LLM生成代码的安全性),应对开源软件的广泛漏洞风险。
三是加强AI网络能力与风险评估,正式授权并为CAISI提供长期稳定资金,使其承担AI网络安全测试协议制定、基准标准维护、与NSA协作开展机密评估等工作;美国国会需明确政府评估前沿AI的法定权限,参考BIS2024年9月提出的“双用途基础模型”报告要求,推动评估覆盖国家安全层面的关键风险,且评估需结合MITREATT&CK等框架、对比人类/现有工具/外国模型的基线、开发面向未来的挑战性测试、建立“评估-预测-威胁情报”反馈循环,同时关注自主AI主体、成本效益、能力差异等影响攻防平衡的关键维度。
四是为工业和安全局(BIS)提供充足资源以执行AI相关出口管制,应对芯片走私、华为与中芯国际获取先进设备等问题,通过资源投入实现从“被动响应”到“主动现代化执法”的转变,维护美国在AI算力领域的优势。
五是明确美国联邦层面关于前沿AI引发网络损害的责任规定,制定涵盖责任原则、监管主体、州法优先性的框架,避免州级法律碎片化;责任认定需设定高门槛(避免抑制通用AI发展),同时考虑AI开发者的平台优势(如通过自动化监测、客户身份验证降低风险),框架需定期审查更新、权衡限制成本与收益、参考现有工具的边际风险、聚焦大规模第三方损害,并明确触发监管的能力阈值。
六是提升前沿AI开发者的信息安全水平,建议美国政府通过情报监测跟踪AI武器化风险,在必要时提供CISA、NSA的网络安全援助;将信息安全纳入政府AI采购标准,同时优先收集针对顶尖模型与开发者的威胁情报。七是推动全球范围内关于自动化网络作战损害责任的规范制定,美国国务院等部门在国际网络规范磋商中,应推动明确自主主体的责任归属,避免开发者与部署者推诿责任。
智 库 服 务
服务内容:资讯跟踪、资料搜集、报告定制、资料翻译、数据加工、软件开发
会员等级:年度会员、终身会员
会员网站:www.milthink.com
联系方式:010-84645772
联系微信:zhanzhiceo
页:
[1]