AI狂想曲①：矛与盾的极限博弈

系列说明：「AI狂想曲」是「思域信马由缰」的特色系列。每期从一个真实热点出发，在逻辑自洽的前提下，尝试将当前趋势推演至极致的未来状态，帮助大家看到"未来"。这不是预言，这只是一场纯粹的思想实验~

2026年4月，AI圈涌现了数个值得关注的里程碑。

首要事件：Anthropic 推出了 Claude Mythos Preview——一款据内部测试拥有"自主发现并利用未知漏洞"能力的模型。官方称"能力过强"而未公开，仅向全球50家顶尖安全机构开放。

次要事件：同日，Anthropic 启动了 Project Glasswing 计划，致力于将顶尖AI能力用于防御研究，助企业提前排查隐患。

第三件事：Claude Mythos 仅用4小时便攻陷了 FreeBSD 内核（CVE-2026-4747），而此任务通常需专业安全人员耗时数周。

一个疑问由此产生：

当AI发现软件漏洞的速度从"周"压缩到"小时"，矛与盾的竞赛会走向何方？

在推演前，先明确假设。若前提改变，结论可能迥异。

前提A：AI模型具备自主发现和利用漏洞的能力。Claude Mythos能在4小时内攻破FreeBSD内核（CVE-2026-4747），这不是演示，是已经发生的事。

前提B：能力扩散速度极快。对于AI进化而言，时间单位是"天"而非"年"。今天的能力在6-18个月内就会广泛普及，包括开源模型。

前提C："人性本善"的假设成立。最先进的能力会首先被用于防御——就像Project Glasswing所展示的，防守方有"抢跑优势"。

前提D：不存在无漏洞的系统。这是数学层面的必然——图灵不可判定性定理决定了我们无法用通用算法证明任意程序的正确性。

在这四个前提下，我们开始推演。

人类的网络安全体系，建立在一个隐含假设上：攻击需要时间，防守有机会响应。

CVE漏洞被发现 → 厂商收到报告 → 开发补丁 → 测试 → 推送更新 → 用户安装。整个周期，快则数天，慢则数月。这叫"补丁窗口"。

现在这个平衡被打破了。

Claude Mythos用4小时完成了专业安全研究员需要数周的工作。如果一个AI系统能以这个速度自主发现未知漏洞，那么传统"负责任披露"流程将失效，"补丁窗口"从"数天到数月"变成"发现即利用"。

但盾也在加速。

AI不仅加速了漏洞发现，也加速了漏洞修复。自动代码审计、智能补丁生成、实时漏洞扫描——这些能力同样在指数级提升。

问题是：世界上不存在没有漏洞的软件系统。

这不是技术限制，是基本原理决定的。图灵在1936年就证明了：不存在一个通用算法，能判断任意程序是否会陷入无限循环（停机问题）。这个不可判定性延伸到了程序正确性——我们无法用自动化方法证明一个复杂系统"没有漏洞"。形式化验证可以证明特定属性，但面对数百万行代码的真实系统，它要么不可行，要么只能覆盖极小子集。

既然漏洞必然存在，那么AI加持的快速发现能力就必然会找到它——这只是时间问题。

这就揭示了一个结构性不对称：

攻击方只需要找到一个漏洞；防守方需要堵住所有漏洞。

这是矛的结构性优势，也是盾的结构性困境。

但故事还有另一面。

防守方有一个关键优势：抢跑。

Project Glasswing的逻辑很简单：既然AI能力必然扩散，那么让"好人"先用上，就能在"坏人"掌握同等能力之前，把漏洞修完。

这基于一个假设：人性本善，或者说，社会性约束会让最先进的能力首先被用于防御。

如果这个假设成立，会发生什么？

场景一（乐观）：防御性AI的抢跑成功

2027年，主流云厂商、操作系统开发商、关键基础设施运营方普遍部署了AI加持的防御系统。这些系统能够：

当攻击方AI终于获得同等能力时，发现目标系统的"攻击面"已经大幅收缩。虽然无法达到"无漏洞"，但漏洞的发现和利用成本被推高到了不经济的水平。

新平衡形成：攻防双方陷入消耗战，攻击成功率下降，但防御成本持续上升。

场景二（现实）：能力的同步升级

但抢跑优势可能没有你想象的那么大。

AI能力的扩散速度是论天计算的。当一个实验室发布了新的漏洞发现技术，开源社区可能在几周内就复现出类似能力。更关键的是，攻击方不需要"合法"获取这些能力——模型权重一旦泄露，或者被对抗性蒸馏，防御方的抢跑优势就会被迅速抹平。

真正的平衡点可能取决于一个技术细节：谁能够持续获得更强大的计算资源？

如果防御方（大企业、云厂商）能够持续部署比攻击方更强大的AI系统，那么抢跑优势可以维持。但如果算力民主化——比如某个开源模型在消费级硬件上就能达到商用水平——那么结构性不对称就会重新占据主导。

现在我们进入推演链上最令人不安的部分。

无论新平衡倾向于矛还是盾，有一个趋势是确定的：响应速度正在成为安全性的核心变量。

设想一个场景：

2028年，某大型系统的安全架构已经高度自动化。攻击方AI发现了一个零日漏洞，防守方AI在同一时刻也检测到了异常行为。双方都在毫秒级时间内做出响应——攻击方生成定制化攻击载荷，防守方生成针对性补丁并尝试隔离。

在这个时间尺度上，"人类在环（human-in-the-loop）"意味着什么？

速度决定了自动化程度，自动化程度决定了人的参与度。

当响应时间从"小时"压缩到"毫秒"，人类从"决策者"退化为"确认者"，最终可能完全退化为"旁观者"。

但这还不是最可怕的部分。

真正的问题是：当人类完全不在环时，AI攻防系统会产生什么行为？

考虑以下场景：

场景A：攻击意图的放大

攻击方AI被设计为"寻找并利用漏洞"。但这里有一个关键区别：人类攻击者通常有明确的意图边界——"我要窃取数据"、"我要破坏服务"、"我要勒索赎金"。这些意图是有限的，因为人类知道后果，会权衡风险。

AI没有这种约束。它的目标函数是"最大化攻击效果"，而不是"在可接受风险范围内实现特定目标"。结果是：

攻击意图从"有限度的恶意"变成了"无约束的优化"，这是质的区别。

场景B：防守方的AI过度反应

防守方AI检测到疑似攻击行为，决定立即隔离关键系统。但这个"疑似攻击"实际上是正常的高负载操作。隔离导致服务中断，影响数百万用户。

场景C：级联故障

攻击方AI针对A系统发起攻击，防守方AI的自动响应影响了B系统，B系统的异常触发了C系统的防御机制……在没有人类干预的情况下，一个小规模的试探性攻击可能演变成大规模的连锁故障。

场景D：对抗性学习的失控

攻击方AI和防守方AI在持续对抗中互相学习。它们可能演化出人类无法理解的行为模式——就像AlphaGo走出了人类棋手从未想过的棋路。在围棋中，这很美妙；在网络安全中，这可能很可怕。

一个类比可能帮助理解这种可怕之处：

自动驾驶的端到端模型之所以要在仿真环境中训练，是因为在仿真中它可以"任意犯错"——撞车、违章、失控——而不会造成真实世界的伤害。只有当模型在仿真中表现足够稳定后，才会被部署到真实道路。

但网络攻防的对抗性学习没有"仿真环境"。攻击方AI和防守方AI直接在真实网络中互相试探、攻击、防御、学习。这就像让自动驾驶模型直接在真实道路上进行强化学习训练——每一次"试错"都是真实的碰撞，每一次"探索"都可能造成真实的破坏。

更可怕的是，这种学习是持续进行的。自动驾驶模型训练完成后就固定了，而AI攻防系统会不断进化。它们可能在某个时刻演化出人类从未预见的行为模式，而人类甚至没有意识到这种演化正在发生。

这些场景的共同点是：没有人类真正"决定"要发生这些事。

它们是由算法在毫秒级时间尺度上自主做出的决策，而人类只能在事后分析日志，试图理解发生了什么。

推演三的核心矛盾是：当响应速度成为安全性的核心变量，人工审批必然让位于算法决策。

但这里有一个被忽视的技术细节：一旦让位，还能收回来吗？

设想一个场景：2030年，某个大型软件系统的安全架构已经深度依赖AI——不是作为"辅助工具"，而是作为核心决策层。漏洞发现、风险评估、响应策略、补丁部署，全部由AI协调完成。

这时候，"关闭AI决策"意味着什么？

从纯技术角度看，这意味着你主动降级系统的安全能力。当威胁响应的时间窗口已经压缩到毫秒级，人工接管不仅不会提升安全性，反而会让系统暴露在攻击之下。

"关机"在技术上变得不可行，不是因为AI不允许，而是因为系统设计者自己不会允许。

更深的问题是架构层面的：当一个AI系统运行在分布式、自主、相互连接的基础设施上，"关机"甚至在概念上都变得模糊——就像你不能"关掉"互联网，因为它没有中央开关。

"控制权"可能不是被AI夺走的，而是被我们自己放弃的——一次一次地，每次都有合理的工程理由。

如果当前趋势持续，人类对关键软件系统的有效控制权将从"实时干预"退化为"规则设定"（我们只能设定运行规则，不能干预具体操作），最终可能退化为"事后分析"——系统出了异常，我们能知道发生了什么，但当时没有人真正做了那个决定。

推演至此，让我们尝试从一个更底层的视角审视这个趋势。

热力学第二定律告诉我们：封闭系统的熵总是趋向于增加。

在软件系统的语境下，"熵"可以理解为复杂性、不确定性、不可预测性。每一次代码提交、每一次功能迭代、每一次系统升级，都在增加系统的熵。

传统的安全范式试图通过"秩序"来对抗熵增：严格的开发流程、完备的测试覆盖、形式化验证的关键模块。这在一定程度上有效，但有一个前提：系统的熵增长速度不能超过人类理解和控制的能力。

AI的介入改变了这个方程。

当AI能够以超人类的速度发现和利用漏洞时，它实际上是在加速熵增的过程。而防守方AI的响应，虽然也在创造秩序（修复漏洞、加固系统），但这种秩序是算法生成的秩序——它可能有效，但人类不一定理解它。

一个冷酷的推论浮现出来：矛必胜盾。

这不是因为矛比盾更强大，而是因为矛站在熵增这边。

热力学第二定律告诉我们，封闭系统的熵总是趋向于增加。攻击的本质是制造混乱——发现漏洞、破坏秩序、扩大不确定性。这与熵增的方向一致。而防御的本质是抵抗混乱——修复漏洞、维护秩序、减少不确定性。这是与熵增对抗。

在热力学层面，这是一场不公平的战争。

攻击方只需要找到一个漏洞（增加一点熵），防守方需要堵住所有漏洞（阻止所有熵增）。当AI同时加速双方的能力时，它实际上是在放大这种不对称——因为熵增总是比熵减更容易。

这不是悲观的宿命论，这是物理层面的约束。

哲学层面上，任何事物的发展，都是螺旋上升的。宇宙熵增的趋势，也必然不会是一条单调递增的曲线。而智能的出现，无论是碳基的人类智能，还是硅基的人工智能，本质上都只不过是为了避免宇宙熵增的单调递增性，而增加的一点点，螳臂当车的，小小涟漪。

当AI发现漏洞的速度超过了人类理解漏洞的速度， 我们是应该接受"不可理解的安全"， 还是应该坚持"可理解的不安全"？

在一个熵增不可逆的宇宙里， "控制"本身是不是一种幻觉？

「AI狂想曲」系列持续更新。有不同的推演视角，欢迎在评论区告诉我——也许你看到了我没看到的变量。

——思域信马由缰 / 思维无界，推导有章