当漏洞正被AI重新定价 360想打造中国版Mythos
传统网络安全行业,正在被AI重新定价。
过去,漏洞挖掘是一件高度依赖人的工作。高水平黑客、长时间代码分析、稀缺的零日漏洞,共同支撑起安全公司的商业价值。但在第十四届互联网安全大会上,360集团创始人周鸿祎给出了一个更直接的提醒:“实际上最后真正干掉我们的恐怕不是友商,而是闯入这个行业的陌生人。”
他所说的“陌生人”,指向的是Anthropic旗下的Mythos(漏洞挖掘智能体)。这类AI系统已经开始具备自主寻找漏洞、分析漏洞并构造攻击代码的能力,也让传统安全防御体系面临新的压力。
当漏洞挖掘的速度变快、数量变多、成本继续下降,过去依赖专家经验和软硬件堆叠的安全模式,也会被迫调整。面对这一变化,360推出了自动化漏洞挖掘智能体“图龙锋”,并计划发布自动化防御系统“仪天阵”。
除了安全攻防本身,周鸿祎也谈到了AI时代企业组织的变化。在他看来,企业落地智能体,不能只把它当成一个效率工具,更关键的是把员工经验、业务流程和组织协作方式重新梳理出来,否则很容易陷入高Token消耗、低业务回报的困境。
长期以来,网络安全行业的商业逻辑建立在“漏洞难找、漏洞有用”的基础上。高质量的零日漏洞在市场上价值数百万乃至上千万美元,挖掘过程也高度依赖顶尖黑客的长期人工分析。
但AI正在改变这件事。
周鸿祎在演讲中提到,Anthropic原本是为了解决AI自动编程带来的代码安全隐患,训练出了Mythos。这个模型后来展现出更强的能力:它不仅能理解代码逻辑,还能自主寻找漏洞、分析漏洞,并构造攻击软件。
“真正的原因我觉得美国政府看到的不是一个大模型,而是一种新的国家级战略能力,”周鸿祎在演讲中将其破坏力定义为质变,“我的描述是相当于AI时代核武器。”
周鸿祎认为,Mythos带来的变化主要体现在四个方面。
第一是速度。过去,一个高价值漏洞从发现到转化为攻击武器,可能需要数月甚至数年。现在,这一过程有可能被压缩到“N分钟甚至N小时”。
第二是数量。只要算力足够,AI可以同时开启成百上千个智能体,对开源代码和既有系统进行持续搜索。过去隐藏在代码深处的历史漏洞,可能会被集中挖出来。
第三是成本。AI挖掘漏洞主要消耗算力,周鸿祎提到,挖出一个高价值漏洞的平均成本已降至不到1000美元。相比过去依赖顶尖黑客长时间投入,这会直接改变漏洞市场的价格体系。
第四是门槛。顶级黑客的作战经验一旦被蒸馏成智能体能力,就可以被批量复制。不懂编程的普通人,也可能借助这类工具生成攻击代码。
周鸿祎还提到,美国已拉拢谷歌、苹果等科技巨头及核心盟友成立“Glasswing”联盟,利用最高1亿美元的Token额度,对关键基础设施进行内部漏洞大排查,而中国企业被排斥在该联盟之外。
这也让安全问题带上了更强的地缘色彩。
针对这一风险,周鸿祎给出了自己的判断:“如果我们找不到有效的应对方法,中国网络安全可能会面临第二次单向透明……已经不是敌暗我明,而是变成了敌快我慢,敌众我寡。”
在他看来,当竞争对手已经可以用AI批量发现漏洞时,传统依赖人工响应的防守体系就会越来越吃力。国内安全行业不能继续停留在被动防御阶段,而要尽快建立相应的自动化能力。
360给出的方案,是避开单纯拼基座模型的路线,转向“智能体Harness系统”(智能体调度系统),把20年的攻防经验与安全大数据转化为一组可以协同工作的安全智能体。
其中,自动化漏洞挖掘智能体“图龙锋”已累计挖掘3000多个漏洞。360还计划发布自动化防御系统“仪天阵”,试图把漏洞发现、验证、修复和防御响应串成一套更自动化的流程。
“唯一的出路就是以算力对抗算力,以智能对抗智能,以机器对抗机器,让中国防御体系从人海战术走向自动驾驶。”周鸿祎总结道。
同时,360联合20家国产信创关键厂商发起“磐石之盾”计划,试图提前建立面向国产关键软硬件的漏洞排查机制。
在安全攻防之外,周鸿祎也谈到了企业如何使用AI智能体。
他认为,现在很多企业对智能体的理解过于工具化,只是把它当成一个更聪明的助手,用来写文档、做客服、生成代码。但如果只是给员工多装一个AI工具,企业很难真正完成智能化转型。
周鸿祎对华尔街见闻等表示,智能体在企业内部必须高度定制化,关键在于提取“隐性知识”。
“如果不能够把员工的隐性知识蒸馏成技能,变成智能体,那智能体永远不可能在企业内部把活给干好,”他表示。
这些隐性知识,既包括老员工处理业务的经验,也包括会议记录、沟通沉淀、流程规则和异常处理方法。换句话说,企业过去数字化做得深不深,数据和流程沉淀够不够,都会影响智能体能不能真正进入业务。
在企业算账时,Token成本也正在变成一个现实问题。
周鸿祎直言,因为安全边界不确定,再加上Token消耗性价比压力,360在纳米WORK AI工作平台中选择放弃接入龙虾模型。他认为,这类开放式推理智能体放在企业生产环境里,很容易产生过高的算力消耗。
早期具备开放式推理能力的智能体,在执行任务时可能会不断尝试工具,甚至陷入循环。为了完成一个目标,可能消耗上千万乃至上亿Token,结果却未必稳定。
更重要的是,开放式推理还会带来安全风险。
周鸿祎认为,将开放式的推理型智能体放入企业内网是高度危险的,“它一定会带来不安全的问题,而且不安全的问题是无法预见的,因为你不知道它会推理出用什么样的工具做什么样的事情。”
因此,在成本和合规压力下,B端市场更可能转向受限环境中的工作流型智能体。它们不会无限制自由探索,而是在企业既定权限、工具和流程范围内完成任务。
但周鸿祎认为,智能体进入企业,最难的地方还不只是代码和工具,而是组织本身。
现在很多企业推进AI转型,只是在单个岗位上做提效。产品经理用AI写需求,前端用AI写页面,后端用AI生成代码,看起来每个岗位效率都提高了,但部门之间的协同方式没有改变,整体效率未必真正提升。
“光把智能体AI能力当成一个单点工具,提高单点效率,但你整个企业的组织架构、岗位定义、业务流程都没有做改变,有点像你买了最先进的发动机装在马车上,它的效果是不行的。”周鸿祎在采访中使用了这一比喻来描述当前的产业错位。
在他看来,企业未来要做的,不只是培养“超级个体”,还要形成“超级组织”。当传统软件逐渐变成智能体可以调用的底层技能,管理者也需要学会重新定义岗位、流程和智能体边界。
这意味着,企业管理者不能简单把任务交给AI,也不能完全放任AI自由行动。真正的难点,是把业务拆清楚,把权限划清楚,把流程设计清楚,再让智能体在这个框架内持续工作。
王小娟
