AI时代，技术人的实战思考

作为一个长期在网络安全一线摸爬滚打的人，我的日常工作主要包含两件事：寻找代码缺陷，以及观察 AI 技术的发展趋势。

过去两年，AI 领域火得一塌糊涂。在日常工作里，我们尝试用 AI 写脚本、帮忙找漏洞，甚至搞 AI 攻防和渗透测试。站在技术革新的关口，我看到了很多行业热闹，也经历了从盲目狂热到冷静思考的过程。

今天不想谈大道理，只想以“实战派”的身份，分享几个我最近的感悟。

首先得说清楚：我是 AI 的拥趸。

在安全圈，AI 是提效的神器。以前搞 PoC（验证代码），要翻烂文档、调试半天；现在用 Prompt，几秒钟就能出框架，省了大把时间。

但接触越深，我越觉得：AI 永远替代不了人，它只能是帮手。

安全攻防归根结底是脑力战。AI 能写脚本、扫漏洞，但真正的红队都知道，那种大批量、无脑扫描在蓝队眼里就是“裸奔”，根本不行。

高手过招，讲究的是隐蔽和一击必中。得靠老手经验，找最弱的点，用最小流量潜行渗透，悄无声息拿下一血。

那种在毫秒间做决策、避风头、定战术的人性思维，是只会算概率的 AI 模仿不来的。AI 像把绝世好剑，没内功撑着就是花架子。

热度越高，乱象越多，特别是“重复造轮子”。开源社区里全是打着“AI 赋能”旗号的项目，其实都是套壳，改改界面就是新东西。

这种包装出来的“神级工具”，看着唬人，细看全是依赖官方 API，没啥真技术。这种泡沫，迟早要破。

还有更危险的，盲目信 AI 会带来新风险。数据投毒就是一招，坏人污染训练数据，AI 就会输出错误指令或后门。AI 拉低了攻击门槛，防守压力也大了。

现在流行堆概念，Agent（智能体）越复杂越显得厉害。

但实战证明，越复杂的链路越容易翻车。要么死循环，要么跑偏。

腾讯 AI 安全大赛有个冠军队说过：“少即是多。”

在攻防和落地里，繁琐不可控的链路就是找死。顶尖方案都是用最简架构解决最致命的问题。

安全行业看实战。那些花里胡哨的复杂方案落地就废，真正管用的工具靠吹没用。

吐槽归吐槽，我对 AI 未来有信心。

技术本身没错，看怎么用。AI 不该是冷冰冰的取代者，而该是默契的 Copilot。

我希望 AI 在合规审计、查病毒、自动防御上真落地，别光在 PPT 里吹。

面对浪潮，别焦虑。时间会过滤掉那些泡沫和神话。

保持理性，敬畏技术，把 AI 当最锋利的工具，练好自己不可替代的本事。

Less is more。深耕技术，顶峰见。