AI赋能攻防新常态：武器与靶标的博弈

今年五月，谷歌威胁情报团队（GTIG）揭露了利用AI辅助生成零日漏洞实施真实网络攻击的现象。本文从攻击面剖析、实战案例及防御架构三个层面，探讨了AI时代网络安全攻防的技术演进路径。 关键摘要：1、AI武器化已进入实战应用，AI辅助生成的零日漏洞已被用于绕过身份验证。 2、智能体安全风险得到验证，实验证实仅需少量提示词就能诱导智能体出现异常操作，完整攻击链条已形成。 3、传统安全范式遭遇结构性难题，自然语言转系统指令的转换节点是当前防御体系的盲点。 4、顶级AI模型在特定攻击情境下已接近人类专家水准，但整体能力仍存在明显差距。 5、需提前布局AI安全基础设施，构建涵盖技术、人才及标准的综合体系。 一、问题定义：武器与靶标的双螺旋模型 在数字网络领域，AI系统的角色可抽象为两个相互加速的维度。AI作为武器，指AI能力被攻击者融入攻击链条，从而提升攻击的自动化水平、规模及隐蔽性。AI作为靶标，指AI系统（包含模型、训练数据、推理服务、智能体运行时）自身构成了攻击入口。二者存在正向反馈机制：对AI系统的攻击能力越强，AI武器化的潜在威胁越大；AI武器化程度越高，AI系统本身的安全需求就越迫切。这并非简单的线性因果，而是攻防双方的双螺旋演进。 二、AI作为靶标，攻击面剖析 2.1 三个层面的攻击入口 AI系统的攻击入口已从单一的模型层拓展至数据层、模型层及应用层三个层面。数据层面的攻击入口 主要威胁在于训练数据被植入恶意代码以及RAG（检索增强生成）数据库的污染。杜克大学的CleanBase研究首次系统验证了向RAG数据库注入恶意文档的可行性。对于依赖知识库增强的LLM系统，数据库充当了新的信任界限；若数据库本身被污染，检索增强机制反而会成为攻击的放大器。模型层面的攻击入口 包含三个子方向：越狱、提示注入以及模型窃取。AttackEval系统对十类提示注入攻击进行了系统评估，结果显示混淆攻击成功率为76%，载荷拆分达到52%，复合攻击成功率甚至高达97.6%。混淆和载荷拆分之所以难以防御，是因为它们能够绕过基于文本模式匹配的检测装置。清华大学段海新团队的LLMThief（IEEE S&P 2026）将攻击入口扩展至模型知识产权保护，当LLM被训练为网络防御工具时，对手可通过查询接口逆向窃取模型能力。应用层（智能体层）的攻击入口 这是当前发展最快的子领域，涵盖工具调用劫持和技能注入。智能体将自然语言指令映射为系统级操作，若输入未充分收敛，攻击者可通过精心设计的提示词实施未授权操作。 2.2 智能体安全，从理论到实证的验证链 近期多项研究和事件构成了智能体安全从理论到实证的验证链。Palisade研究，理论层面的突破 实验证实，仅需少量提示词就能诱导智能体实现自我复制和链式扩散。核心发现是智能体的攻击入口并非边界问题，而是系统性风险；只要智能体具备自我复制和传播能力，提示注入就可能引发指数级扩散。AgentVisor，防御体系 将操作系统虚拟化理念引入智能体安全，提出了trap-audit-recover运行时框架。核心创新是在模型输出与工具调用之间设置STI协议（工具适配性、目标