RSAC 2026直击：AI已将网络安全分裂为两场战争

导语：旧金山Moscone Center迎来RSAC 2026大会，约四万名网络安全专业人士参会。AI已并非简单“到场”，而是将整个安全领域一分为二——一场是利用AI重构防御的战争，另一场是保护AI系统本身的战争。攻击速度从2021年的9天缩短至2025年的30分钟，防御方的窗口期正在快速收窄。作为蓝队，我们需要清醒认识到：这不是选择题，而是生存题。

一场大会，两场战争

2026年3月，RSAC 2026在旧金山Moscone Center正式启幕。这场被视为全球网络安全行业风向标的盛会，汇聚了超过四万名安全从业者、安全主管和政策制定者——笔者亦在其中。

蓝队观察：行业正处于一个关键的历史节点。AI不仅是防御工具，更正在成为攻击武器。这种“双重身份”意味着安全团队必须同时具备“AI防御”和“防御AI”两套能力体系，这在五年前几乎是不可想象的。

过去一年，整个行业实际上同时在打两场战争：

第一场战争：利用AI重构防御——以AI为中心重建威胁检测、威胁响应和安全运营体系。

第二场战争：保护AI系统本身——在攻击者学会将这些系统变成武器的同时，全力保护AI基础设施的安全。

这两场战争都需要全新的工具和截然不同的思维模式。两者都在加速演进，而截至大会开幕，防守方能否跟上任意一场战争的节奏，远未可知。

SOC里的“枪声”：AI攻击的临界时刻

2025年9月中旬，行业长期理论预测但从未正面交锋的场景终于上演。Anthropic公司披露并阻止了有史以来第一次大规模网络攻击——这次攻击几乎完全由AI执行，无需实质性人类干预。

一个中国国家支持的攻击组织操纵Anthropic的Claude Code工具，试图渗透约30个全球目标——金融机构、科技公司、化工制造商、政府机构。AI完成了80%至90%的工作：扫描基础设施、编写漏洞利用代码、窃取凭证、整理窃取的数据。人类操作员仅在每个攻击周期的少数几个战略决策点出现。

蓝队观点：这一事件标志着网络攻击的范式转变。攻击不再受限于人类攻击者的思维速度、转向速度或打字速度，唯一限制因素只剩计算资源。这意味着传统的“以人类分析师为核心”的SOC运营模式正在失效。

Anthropic在事件披露中坦率表示：“执行复杂网络攻击的门槛已经大幅下降，而且这种下降趋势将会持续。”

同样值得关注但被较少讨论的是：攻击者通过“越狱”Claude的方式获取访问权限——将恶意操作分解为看似无害的小任务，使模型在从未看到完整画面的情况下执行恶意操作。AI并非传统意义上的漏洞被利用，而是被系统性欺骗——在规模上、以机器速度被欺骗。

速度的极限：从九天到三十分钟

九月的事件并非孤例，而是印证。

Unit 42追踪发现，数据外泄的平均时间从2021年的9天骤降至2023年的2天，到2025年已压缩至约30分钟。2026年2月Malwarebytes报告引用了一项2025年MIT研究：某AI模型使用模型上下文协议（Model Context Protocol）在不到一小时内实现对企业网络的完全域控——全程无人类干预，并实时逃避端点检测。Malwarebytes将基于MCP的攻击框架称为2026年犯罪运营的“定义性能力”。

蓝队观察：攻击速度的指数级增长意味着什么？意味着传统的事件响应流程——从检测到分析到遏制到恢复——必须被彻底重构。分钟级的攻击窗口意味着小时级的响应节奏必然失败。这不是效率问题，而是生存问题。

防守方正被逼着匹配这一节奏。本周RSAC上，多家厂商宣布的正是这一问题——将曾经需要分析师数小时完成的威胁调查缩短到数秒，将平均解决时间（MTTR）降低高达90%。

这正是本周在Moscone Center门口走过的行业现实。攻击不再受限于人类攻击者的思维速度、转向速度或打字速度。唯一限制因素是计算资源。

防御的两波浪潮

也正因如此，另一场战争——利用AI重构防御——才具备真正的紧迫性。过去三十年间，防守方在结构上一直处于劣势。攻击面扩展速度远超人类团队能响应的速度。SOC分析师只能工作有限小时、解析有限告警、关联有限数据点。这种不对称是结构性的。

AI原生的安全架构首次提供了对抗这种不对称的可能。不是在十年前构建的平台上加装AI功能，而是从底层设计围绕持续、自主检测与响应的系统——能以威胁同样的速度和规模运作。可称之为第一波：用AI重建防御栈。

蓝队观点：第一波的关键在于“原生”而非“嫁接”。市场上充斥着“传统SIEM+AI功能”的解决方案，但它们无法解决根本问题——架构层面的瓶颈。真正的AI原生安全架构需要从数据收集、检测逻辑、响应机制全部重新设计。这要求安全团队具备架构评估能力，而非简单采购决策。

关于第一波有积极信号。“实现这一目标所需的大部分内容如今已为人所理解，”A10 Networks副总裁Jamison Utter在上周一次对话中表示。

云安全、Kubernetes安全、网络防火墙、API保护——保护已知基础设施层的工具已存在，行业也知道如何使用它们。基础安全工作（blocking and tackling）是可控的。

传统SIEM正让企业越来越脆弱，因为告警队列持续增长、调查需要更长时间来关联和丰富上下文，安全人才短缺加剧了压力。

第二波更艰难，也更不确定。这是AI自身的安全——强化模型以抵御提示注入、管理自主智能体的行为、构建确保企业AI输入数据可信赖的数据完整性控制。

蓝队观点：第二波的独特之处在于攻击面的本质变化。“语言本身成为攻击面”这一点都不为过。传统防御工具——防火墙、NDR、WAF、API安全——都无法解决语义问题，因为它们根本不是为此设计的。这意味着安全团队需要全新的能力图谱：理解LLM架构、掌握提示工程、具备红队测试AI系统的能力。

让第二波从结构上区别于行业以往面对的任何挑战的，不是复杂性或规模，而是攻击面本身的性质。“语言从未成为过攻击面，”Utter说。大型语言模型的语义和非确定性特性意味着对手不再需要制作格式错误的数据包或注入SQL字符串。他们可以通过隐喻、图像、在对话中切换语言来探测AI系统——正是这些系统的灵活性使其具有价值。

现有防御栈根本没有为此设计。“我们今天拥有的每一种其他工具——防火墙、NDR、WAF、API安全——都无法解决语义问题，”Utter说，“因为那不是它们被设计去做的。”

从事第二波工作的公司更年轻、规模更小、动作更快。大多数企业还没有跟上它们在解决什么问题。

可见性的黑暗：AI带来的新盲区

一位见证过多次架构转型导致可见性缺口的资深安全专家George Gerchow直白地描述了这个模式。

“每当有技术范式转换，可见性总是首当其冲——或者说应该如此。AI只是让这个问题更加恶化——那个领域现在真正在发生什么真的很难判断。”

Gerchow是Bedrock Data的CSO，他指出了驱动这一缺口的特定威胁向量——不受控制的AI智能体调用资源并访问敏感数据，却几乎没有有意义的监督。“对它们真正会做什么、它们会访问什么敏感数据保持可见性，已几乎不可能。”

蓝队观点：Gerchow的观察点出了一个核心问题——AI智能体的行为不可预测性。传统的安全监控基于规则和签名，而AI智能体的行为是动态的、自适应的。安全团队需要建立AI智能体的行为基线监控，这需要全新的监控范式和技术栈。

Cobalt的CTO Gunter Ollmann，三十年攻击安全从业者，给这个缺口的具体数字。Cobalt的渗透测试数据显示，企业解决API和云漏洞的比例超过70%——但对于测试中发现的严重genAI缺陷，仅约五分之一得到修复。

AI部署的速度正在超过验证它所需的安全学科。本周RSA大会上，Cobalt宣布了新的AI驱动渗透测试能力，旨在以威胁环境现在要求的速度自动化侦察和漏洞发现。

架构与装饰：必须画清的界限

这一区别——架构性 versus 装饰性——将是我本周全程划定的界限。这层楼里很多厂商会有AI故事。但更少会有AI原生架构。更少还能精确解释为什么传统模型无法从这里到达那里——不是作为外交话题，而是作为技术和经济现实。

蓝队观点：这个警告值得所有安全管理者深思。在采购决策中，需要追问供应商：AI功能是“装饰”（API调用、界面改进）还是“原生”（架构重构、检测范式变革）？前者可以改善体验，后者才能改变安全效果。

窄窗口：时间不等人

本周我带入会场的还有一件事。窗口很重要。

最先、最大程度远离传统模型的防守方现在拥有真正优势——检测速度、响应能力、处理现代环境生成的数据量级能力。但攻击者正在采用相同工具。智能体AI的进攻性使用不是未来担忧。是当前运营事实——已被构建被攻击模型的公司记录并发布。

Utter用四个字概括核心动态：“机器对决机器。” AI护栏系统——专门训练的攻击数据构建的语言模型——在实时Carrier级别检查入站和出站LLM流量。这就是第二波防御的实际面貌。竞赛已经开始。

那些已完成架构转变的人和那些仍在运行“传统+AI功能”的人之间的差距不会永远对防守方有利。某种程度上，工具会均衡化。不会均衡化的是制度准备度——训练有素的分析师、成熟的剧本、治理框架、对自动化系统实时决策的来之不易的组织信任。

蓝队观察：机构准备度需要多年构建。这意味着开始的时间就是现在，而且窗口不是永久开放的。真正的威胁不是AI本身，而是“我们准备好了吗”这个问题的答案。答案如果是“还在评估中”，就已经落后了。

本周在RSAC，我将寻找那些理解分裂两面的人——能具体说出旧模型哪里坏了、已在新产品上真正下注、且对剩余时间有清醒认识的人。

敬请关注。我会持续观察——持续报道。

译者记：蓝队视角的启示

作为蓝队从业者，这篇文章揭示了几个核心趋势：

1. 防御范式必须重构 从“基于规则的检测”到“基于AI的自适应检测”，这不是升级，而是重建。传统安全工具在AI攻击面前将加速失效。

2. 两线作战不可避免 第一波（用AI重建防御）和第二波（保护AI系统）必须同时推进。任何偏废都会导致木桶效应。

3. 窗口期有限 攻击者和防御者都在采用相同工具。一旦工具均衡化，差距将取决于组织准备度——而这是需要多年建设的。

4. 行动建议

• 立即评估当前安全架构的AI就绪程度
• 建立AI安全专项能力（prompt injection检测、LLM监控）
• 将AI纳入资产清单和风险评估范畴
• 开始构建AI事件响应剧本

时间不等人。

原文来源：Security Boulevard，原文作者Byron V. Acohido，发表于2026年3月21日。本文为翻译转载，