五眼联盟的五个网络安全负责人,难得地坐在一起发了一份联合声明。内容不长,但用词很重:AI正在”根本性地改变”网络攻防,而且这个时间窗口不是几年,是”几个月”。
这份声明来自美国、英国、加拿大、澳大利亚和新西兰的网络安全机构负责人联合署名。他们说AI模型将在未来几个月内让进攻性和防御性网络能力发生根本性转变,而且”漏洞必然会发生”(breaches will occur)。
“对手已经在用AI了”
声明里有一句话很直接:”对手已经在用AI来移动得更快、更有效。”这里的”对手”指的是谁,大家都懂。五眼联盟的语境里,主要就是俄罗斯、中国、伊朗、朝鲜这几个国家的国家级黑客团队。
AI对这些团队的价值在于:以前写攻击代码、找漏洞、做社工诈骗,都需要人手和 time。现在这些事AI可以帮忙加速。一个脚本小子加上一个会用的AI工具,产出的攻击代码可能比过去一个团队一周的产量还多。
五眼联盟的原话:”防御者必须做同样的事情。”意思是,既然对手在用AI加速攻击,防守方也得用AI加速防御,不能还在用人眼盯日志。
不是未来,是现在
声明特别强调:AI不是”未来的考虑”——它已经在这里了。它降低了恶意行为者的门槛,同时增加了攻击的速度和复杂度。漏洞从被发现到被利用之间的时间窗口,正在被AI快速压缩。
这个趋势其实已经在发生了。2025年到2026年,利用AI辅助发现零日漏洞的攻击报告明显增多。过去一个零日漏洞从被发现到出现在野外部署,可能要几周到几个月。现在有些漏洞在补丁发布之前就已经被利用了——AI帮攻击者更快地理解了补丁代码,逆向出了漏洞利用方式。
给领导者的行动清单
这份声明不是写给技术人员的,是写给企业领导者的。它列了五个”现在就做”的事项:
- 缩小攻击面:能不暴露的系统就不要暴露,能隔离的就隔离。
- 加速打补丁:AI缩短了漏洞利用的时间窗口,拖拖拉拉打补丁就是在给攻击者送分。
- 处理遗留系统:不受支持的老系统不是”技术债”,是”战略负债”——这话说的挺狠,但也没错。
- 强化身份和访问管控:谁能访问关键系统?多久审查一次权限?用多因素认证了吗?
- 提前演练 incident response:假设一定会被攻破,练的是”怎么快速 containment(控制住)”,而不是”怎么防止被攻破”。
用AI对抗AI
声明最后说了一句话,算是给AI防御工具正名:组织如果把AI工具整合进安全运营,可以更早地发现漏洞、改善软件质量、监控异常行为、更快地响应事件。
这其实是在回应一种质疑:有些企业领导者觉得”用AI做安全”是在赶时髦。五眼联盟的态度很明确:这不是赶时髦,这是必须做的事。你的对手已经在用了,你不用就是在送。
这份声明本身的象征意义可能比具体内容更重要。五眼联盟一起出面,说明这件事已经上升到了国家级协调的层面。下一次如果真的有大规模AI辅助网络攻击发生,至少各方已经打过预防针了。
发表回复