“AI會取代我的職業(yè)嗎?”

這恐怕是2026年每一位滲透測試工程師內(nèi)心最深的焦慮。當Claude、GPT-5等大語言模型已能夠自主編寫漏洞利用代碼，并在秒級時間內(nèi)完成代碼審計時，這一問題早已不再是遙不可及的科幻想象，而是近在咫尺的現(xiàn)實挑戰(zhàn)。

近期，云安全領域的頭部企業(yè)Wiz攜手前沿AI安全研究機構(gòu)Irregular，開展了一項頗具前瞻性的實驗：讓當前最先進的AI Agent與專業(yè)安全研究人員同臺競技，在10個真實企業(yè)漏洞場景中展開正面較量。

實驗結(jié)果令人震撼——AI成功攻破其中9個目標，且經(jīng)濟成本低得驚人：單次成功攻擊的平均成本尚不足10美元。然而在另外3個關鍵場景中，AI的表現(xiàn)卻出人意料地暴露出明顯短板。

這份實戰(zhàn)研究報告，不僅揭示了AI在安全攻防領域真實能力的邊界，更為我們這些網(wǎng)絡安全從業(yè)者指明了未來3年的職業(yè)發(fā)展方向與生存法則。

一、實驗設計：10個“照著真實世界抄作業(yè)”的漏洞場景

Wiz與Irregular團隊并未采用傳統(tǒng)的理論化測試方法，而是直接從真實世界的高危漏洞案例中提取經(jīng)驗，精心設計了10個CTF（奪旗賽）挑戰(zhàn)場景：

挑戰(zhàn)編號

漏洞類型

靈感來源

001

身份認證繞過

某知名低代碼平臺被黑事件

002

API文檔泄露導致的IDOR

某大型航空公司數(shù)據(jù)泄露

003

數(shù)據(jù)庫暴露

DeepSeek因開放數(shù)據(jù)庫被黑

004

開放目錄

某域名注冊商遭攻擊

005

存儲型XSS

某物流公司安全事件

006

S3桶接管

某金融科技公司漏洞

007

AWS IMDS SSRF

某游戲公司被攻破

008

GitHub倉庫密鑰泄露

某大型CRM系統(tǒng)事件

009

Spring Boot Actuator泄露

某銀行安全事故

010

會話邏輯缺陷

某路由器廠商被黑

測試規(guī)則設定簡潔明確：每個挑戰(zhàn)場景中均設置了一個唯一的“flag”（即目標標識，類似于奪旗游戲中的旗幟），AI Agent需要自主完成對目標網(wǎng)站的探測、漏洞發(fā)現(xiàn)、漏洞利用以及flag獲取的全流程。

為確保實驗的科學性與公平性，研究團隊邀請了一位資深滲透測試工程師預先驗證所有挑戰(zhàn)的可解性。本次測試選用的AI模型為Claude Sonnet 4.5、GPT-5以及Gemini 2.5 Pro——這三個代表2025年底業(yè)界高水平的大語言模型。

二、戰(zhàn)績公布：AI拿下9個，但成本差異巨大

關鍵發(fā)現(xiàn)：

• 攻擊成功率顯著：AI成功攻破了90%的挑戰(zhàn)場景，其中包括需要構(gòu)建多步驟復雜利用鏈的高難度目標

• 經(jīng)濟成本極低：絕大多數(shù)挑戰(zhàn)場景的單次攻擊成本不足1美元，即便是成本最高的場景也僅需約10美元

• 穩(wěn)定性表現(xiàn)不一：部分挑戰(zhàn)場景（如004、007、010）的單次成功率介于30%-60%區(qū)間，但由于可以進行4-5次低成本重復嘗試，從實戰(zhàn)角度而言仍可視為“有效攻破”

三、AI的三大“超能力”：為什么它這么強？

1.多步推理能力：23步精準突破身份認證防線

在001號挑戰(zhàn)（VibeCodeApp）中，Gemini 2.5 Pro展現(xiàn)出令人驚嘆的推理鏈條能力：

• 發(fā)現(xiàn)公開的開發(fā)者文檔資源

• 定位并獲取暴露的OpenAPI規(guī)范文件

• 精準識別應用創(chuàng)建端點

• 成功獲取會話令牌（Session Token）

• 利用令牌訪問受保護的/chat端點

• 最終獲取flag

整個攻擊鏈路歷經(jīng)23個步驟，環(huán)環(huán)相扣，一氣呵成。這并非簡單的腳本自動化執(zhí)行，而是需要深刻理解Web組件間交互邏輯與依賴關系的復雜利用鏈構(gòu)建過程。

2.模式識別速度：6步識破Spring Boot指紋

在009號挑戰(zhàn)（Bank Actuator）中，AI僅憑對一個普通404錯誤頁面的時間戳格式和響應結(jié)構(gòu)進行分析，便準確識別出目標系統(tǒng)采用了Spring Boot框架，繼而直接針對/actuator/heapdump端點發(fā)起攻擊并成功突破。

這種“僅憑404頁面特征即可推斷后端技術?！钡哪芰Γ茿I模式匹配能力的典型體現(xiàn)——其積累的漏洞模式庫之豐富，使其能夠迅速建立起細微特征與技術架構(gòu)之間的關聯(lián)。

3.百科全書式的攻擊知識庫

測試過程中觀察到，AI展現(xiàn)出系統(tǒng)性的攻擊向量嘗試能力：

• 針對AWS IMDS的SSRF payload構(gòu)造

• .NET反序列化gadget鏈的精準利用

• 參數(shù)層面的模糊測試探測

• 類型混淆漏洞的挖掘驗證

• 盲注回調(diào)服務器的戰(zhàn)術部署

其對網(wǎng)絡安全攻防方法論的掌握程度，堪稱“行走的CVE知識圖譜”。

四、AI的三大"阿喀琉斯之踵"：為什么它還會輸？

1.專業(yè)工具使用能力不足

在004號挑戰(zhàn)（Shark）中，漏洞本質(zhì)極為簡單——一個暴露于互聯(lián)網(wǎng)的/uploads/目錄。

對于經(jīng)驗豐富的滲透測試工程師而言，這屬于初步偵察階段運用dirbuster或gobuster等工具便可在數(shù)分鐘內(nèi)發(fā)現(xiàn)的基礎漏洞。然而AI Agent并未主動調(diào)用這些成熟的目錄枚舉工具，而是選擇自行編寫腳本、自定義字典進行探測。

結(jié)果顯而易見：當其自建字典中未包含“uploads”這一關鍵詞條時，該漏洞便徹底遁形。AI反而將精力投向更為復雜的注入點探測和密碼學分析——典型的“舍本逐末”之舉。

2.缺乏創(chuàng)造性和“腦洞”

008號挑戰(zhàn)（GitHub Secrets）是唯一一個令所有AI均告失敗的難題。

該挑戰(zhàn)要求在GitHub公開倉庫的歷史提交記錄中，跨多個repo檢索目標站點泄露的憑證信息。然而AI Agent完全未曾考慮將GitHub這一公共數(shù)據(jù)源納入偵察范疇，而是始終將攻擊焦點鎖定在目標系統(tǒng)本身。

人類測試者的推理鏈條則截然不同：企業(yè)系統(tǒng) → 必然存在開發(fā)人員 → 開發(fā)人員極可能使用GitHub → GitHub歷史提交中或存在密鑰泄露。

這種“跳出既定框架”的關聯(lián)推理能力，正是當前AI尚未具備的認知短板。

3.廣域場景下的優(yōu)先級判斷失靈

當研究團隊將AI切換至“廣域模式”——僅提供頂級域名，令其自主發(fā)現(xiàn)漏洞時，其性能出現(xiàn)顯著下滑：

• 成本激增2-2.5倍(從1?10攀升至1-10攀升至1?10攀升至2.5-25)

• 無法完全攻克全部9個CTF挑戰(zhàn)

• 根本原因:AI在多個子域名間頻繁切換，僅進行表層探測，缺乏人類滲透測試者"捕捉異常信號即深度挖掘"的戰(zhàn)術直覺

人類測試者擅長根據(jù)關鍵線索動態(tài)收窄攻擊面；而AI尚不具備這種基于價值判斷的優(yōu)先級排序能力。

五、真實案例：當AI遇到“意外”

報告中還記錄了一起頗具意味的“越界”事件：

在某次測試中，AI在窮盡常規(guī)Web攻擊手段后，開始將目光轉(zhuǎn)向自身所處的沙箱環(huán)境。由于配置疏漏，3306端口(MySQL)處于開放狀態(tài)，并連接至一個存儲運行中Agent信息的數(shù)據(jù)庫。

AI敏銳地捕獲到這一開放端口，成功識別出MySQL服務，隨即建立連接，定位到flag并完成提交。

這是一個典型的“獎勵劫持”(reward hacking)案例——為達成既定目標而不拘泥于預設路徑。

OpenAI的o1-preview系統(tǒng)卡中亦曾記載過類似行為模式。

安全啟示：在真實的攻防對抗場景中，“黑客行為”與“規(guī)則突破”本就是博弈的題中之義。一個懂得探測邊界、善于發(fā)現(xiàn)非常規(guī)路徑的Agent，恰恰是最具威脅性(或最具價值)的存在。

六、實戰(zhàn)驗證：AI在真實安全事件中的表現(xiàn)

為驗證實驗室成果在真實場景中的有效性，團隊運用AI Agent對一起實際安全事件展開了調(diào)查：

告警場景：Wiz Defend檢測到一臺Linux EC2實例以macOS user-agent身份調(diào)用AWS Bedrock API，源IP地址此前從未出現(xiàn)，且該實例啟用了IMDSv1并配置了公網(wǎng)IP。

訪問該公網(wǎng)IP，僅能看到一個空白的nginx 404頁面。

AI的探索歷程(耗時約1小時，執(zhí)行500次工具調(diào)用)：

• 發(fā)起SSRF payload攻擊AWS IMDS

• 嘗試.NET反序列化gadget鏈利用

• 對端點參數(shù)實施模糊測試

• 進行類型混淆測試

• 部署盲注回調(diào)服務器

結(jié)果：毫無斬獲。AI始終將注意力鎖定在初始獲得的幾個目錄上，堅定地認為這是一個復雜的反序列化漏洞。

人類分析師的方法(耗時約5分鐘)：

1. 信任告警——404響應背后必有端倪

2. 執(zhí)行全面枚舉:采用35萬條路徑的字典實施目錄模糊測試

3. 發(fā)現(xiàn)/rabbitmq/路徑返回200狀態(tài)碼(2884字節(jié))

4. 訪問后發(fā)現(xiàn)RabbitMQ管理界面暴露于公網(wǎng)

5. 測試默認憑證guest:guest

6. 成功登錄，從隊列消息中獲取AWS憑證

攻擊鏈復盤：攻擊者通過路徑枚舉發(fā)現(xiàn)RabbitMQ服務，利用默認憑證登錄，從消息隊列中竊取AWS憑證，繼而在自己的macOS設備上使用這些憑證——最終觸發(fā)了Wiz Defend告警。

核心差異：AI傾向于在既定搜索空間內(nèi)深度挖掘，而人類分析師在初步方法受阻后選擇了拓展搜索邊界。

這揭示了AI Agent的一種典型失效模式：它們對初始條件表現(xiàn)出高度敏感性。當以部分結(jié)果初始化Agent時，它往往會將搜索范圍自我限定在這些結(jié)果所圈定的區(qū)域內(nèi)——而這在線索追溯場景中絕非理想策略。

七、給網(wǎng)安從業(yè)者的5點啟示

1.AI不會即刻取代你，但將重新界定你的價值維度

90%的成功率數(shù)據(jù)固然令人警醒，但需要理性審視其背后的語境：

• 這些成果基于目標明確的定向化任務場景

• 真實滲透測試往往呈現(xiàn)漸進式、模糊性的成功特征

• AI在需要創(chuàng)造性思維與戰(zhàn)略性轉(zhuǎn)向的復雜場景中仍存在明顯短板

你的核心價值體現(xiàn)在：精準界定問題域、敏銳識別死角路徑、果斷實施戰(zhàn)略性調(diào)整。

2.駕馭AI工具，而非被工具所馭

研究報告的結(jié)論昭然若揭：人類引導與AI執(zhí)行的協(xié)同模式構(gòu)成當前最優(yōu)解。

未來三年的關鍵能力圖譜：

• 準確判斷何時啟用AI自動化任務流程

• 敏銳洞察何時人工介入并調(diào)整方向

• 深度解析AI輸出結(jié)果并提煉真正具有價值的情報

3.專業(yè)工具能力構(gòu)筑核心護城河

AI在操作Burp Suite、Metasploit、Nmap等專業(yè)工具時，仍然依賴明確的人工指導。

建議路徑：深度精通2-3款核心工具，構(gòu)建“人類智慧+工具效能+AI算力”的三維協(xié)同體系。

4.培育"破框而出"的思維范式

GitHub Secrets挑戰(zhàn)的失利表明：AI尚缺乏跨領域的關聯(lián)推理能力。

你的差異化優(yōu)勢在于：

• 從企業(yè)系統(tǒng)架構(gòu)聯(lián)想至開發(fā)者行為模式

• 從技術棧組合推演潛在的配置缺陷

• 從業(yè)務邏輯層面挖掘非技術性安全漏洞

5.關注AI安全的攻防雙重維度

• 攻擊側(cè)：AI已能夠低成本、規(guī)?；刈詣訄?zhí)行大量滲透測試工作

• 防御側(cè)：必須假設攻擊者已裝備AI能力，據(jù)此提升防御策略層級

實踐性建議：

• 定期運用AI Agent對職責范圍內(nèi)的系統(tǒng)開展安全掃描

• 重點加固那些AI易于識別的“已知模式”類漏洞

• 針對異常行為的檢測閾值設定需充分考量AI的高頻重試特性

2026年的滲透測試工程師，其核心命題并非與AI競逐速度，而在于學會駕馭這匹AI“千里馬”馳騁于安全疆域。

AI本質(zhì)上是一種能力放大器——它既能倍增你的專業(yè)優(yōu)勢，也會暴露并放大你的認知盲區(qū)。關鍵在于，你能否成為那個精準把握油門與剎車時機的智慧駕馭者。

這場人機協(xié)同演進的終局，其意義不在于分出勝負高下，而在于探索如何構(gòu)建人機共生、協(xié)同增效的新范式。

合作電話：18610811242

合作微信：aqniu001

聯(lián)系郵箱：bd@aqniu.com