Skip to content

AI 重塑网络安全

【本文定位说明】 本文聚焦"AI 如何重塑传统网络安全行业"——SOC 形态从 SOAR 演进到 Agentic SOC、漏洞挖掘从人工审计跃迁为分钟级智能体、CISO 认知分层与厂商代际错位、防御策略代际更替(玻璃之翼、AES 新品类)。本文与本目录下的姐妹方向互补但不重叠

  • 《AI 系统安全攻防体系》:AI 系统自身的攻击矩阵、护栏、红队方法论
  • 《Agent 安全工程》:Agent 系统特有的协议-身份-执行三层安全工程
  • 《具身智能安全》:具身系统的六层攻击面与感知-语言-执行防御

简言之:本文回答"AI 怎么改变网安行业",姐妹三篇回答"AI 系统自己怎么被守"。读者如关心攻击分类 / 护栏产品 / MCP 风险 / Agent IAM / 具身攻击面,请直接跳转对应方向。

方向定位:AI(尤其是大模型与 Agent)如何同时在攻击端(漏洞挖掘自动化)和防御端(Agentic SOC、CISO 认知重构)颠覆传统网络安全;产业代际、厂商格局与防御方应对策略 当前版本:v1.0 首次构建:2026-05-13 最近更新:2026-05-13 文件名日期同步:2026-05-13 来源数:5 篇

方向定位

本方向研究 AI(尤其是大模型与多智能体)在 2026 年前后对网络安全攻防格局的不可逆重构。一端是攻击端能力跃迁——Claude Mythos、360 漏洞挖掘智能体在数月内将"零日"发现成本从数年/数百万次模糊测试压缩至分钟级;另一端是防御端范式迁移——SOAR 在 GigaOm 雷达上整体演进为非确定性、LLM 原生的 Agentic SOC,"几乎所有参评厂商都在以某种方式实施 LLM 自动化"。在两端之间夹着两个组织层变量:CISO 的 20/40/40 认知分层决定了采购决策速度,而供应链/APT/AI 工具被武器化构成正在发生的真实威胁面。读者对象为 CISO、安全产品经理与安全研究者——目标是建立"代际坐标 + 厂商坐标 + 威胁坐标"三轴共用的全局视图。

知识图谱

  • 攻击端能力跃迁
    • AI 漏洞挖掘智能体
      • Claude Mythos(第四层级 Copybara,超越 Opus 4.6)
      • 360 漏洞挖掘智能体(累计近千漏洞、高危 50+)
    • 临界点信号:能力扩散时间以"月"而非"年"计
    • 攻防天平:传统系统加固方式已"难以为继"
  • 防御端范式迁移
    • SOAR → Agentic SOC(确定性 → 非确定性)
    • 三种 LLM 实现:设计时 / 确定性包装器 / 用户自定义智能体
    • 三层叠加:前 LLM 数据层 + AI 智能体 + 集成编排底盘
    • GigaOm Radar 两轴四象限(Maturity↔Innovation × Feature↔Platform)
  • 行业组织层
    • CISO 认知分层 20/40/40(前瞻 / 困惑求知 / 后知后觉)
    • RSAC 12 大趋势(认知 → 厂商窗口期 → 品类杀手 → NHI)
    • 厂商代际错位:Forward Mover 全部在传统 SOAR
  • 威胁态势(持续发生的真实攻击面)
    • 供应链攻击(Axios npm → OpenAI、CPUID)
    • AI 工具被武器化(Claude Code/GPT-4.1 窃取数亿条墨西哥政府记录)
    • 关键基础设施(5219 台 Rockwell PLC 暴露)
    • APT / 国家级威胁(BITTER、Lazarus、伊朗 APT)
  • 防御方应对策略
    • 玻璃之翼:受控访问 + 跨厂商协作(1 亿美元 + 400 万捐赠)
    • AI 原生应用安全工具(嵌入开发工作流)
    • NHI / 影子 Agent 检测 / 零常驻权限
    • CISO 路径:困惑 → 主动布局("飞行中检修飞机")
    • AES(Agentic Endpoint Security)新品类
      • 治理对象:endpoint 上的 AI Agent / MCP server / IDE 扩展 / 浏览器扩展 / npm·PyPI 包 / 本地模型 / 容器
      • Supply Chain Gateway:GitHub / Hugging Face / Chrome Web Store / VS Code Marketplace / Homebrew 入口治理
      • AES vs EDR 假设差异:EDR 看 malware,AES 看"合法安装、合法登录、合法调用工具"的 autonomous actor
      • 与 EDR 的三阶段路径:短期并存 → 中期升级 → 长期融合
      • Palo Alto / Koi 收购作为品类诞生标志(2026-04-14)

核心概念

  • AI 漏洞挖掘智能体(攻防自动化的临界点):能够自主完成漏洞发现、验证、利用链构建的多智能体系统,将数月至数年的人工审计周期压缩至分钟级;代表产品包括 Anthropic Claude Mythos 和 360 漏洞挖掘智能体;标志着 AI 在安全领域"从辅助工具跃升至主要研究者"[来源 #1, #4]。

  • Agentic SOC(非确定性、LLM 原生 SOC):相对于传统 SOAR 的预编排 playbook 模式,由 LLM 智能体在运行时根据上下文自主选择调查路径、组合工具、撰写结论;被 GigaOm 视为"SOAR 经过四次迭代后的自然演进"[来源 #5]。

  • LLM 化的三种实现

    • 设计时 LLM:用 LLM 生成 playbook/集成代码/查询语句,运行期仍跑确定性逻辑(BlinkOps、Mindflow、Tines、Torq)。
    • 确定性包装器:LLM 嵌入工作流节点(摘要、富化、推荐),主流程仍由 SOAR 控制(多数传统 SOAR)。
    • 用户自定义 AI 智能体:用户描述任务/目标,智能体自治调度工具完成调查响应(Exaforce、Imperum、Dropzone AI)[来源 #5]。
  • CISO 认知分层模型(20/40/40):前瞻型 20%(清晰掌握 AI 业务布局与安全需求,主动构建采购清单)/ 困惑求知型 40%(知道 AI 在用但不清楚范围与风险,迫切寻求威胁缓解)/ 后知后觉型 40%(尚未察觉内部 AI 项目,关注社交而非技术研讨)。从困惑到主动布局被形容为"飞行中检修飞机"[来源 #2]。

  • 玻璃之翼防御计划:Anthropic 2026-04-07 宣布暂缓发布 Claude Mythos,转而联合苹果、微软、谷歌、亚马逊、思科、英伟达、摩根大通、CrowdStrike、Palo Alto Networks、Linux 基金会、Apache 基金会等 40+ 组织,提供 1 亿美元模型使用额度 + 400 万美元开源捐赠(Linux 基金会 250 万 + Apache 150 万),在 AI 能力扩散前修复关键软件漏洞[来源 #1]。

  • 供应链攻击 + AI 公司依赖脆弱性:Axios npm 包维护者账户被入侵后发布恶意更新,OpenAI 紧急轮换 macOS 证书——这是 AI 行业供应链安全标志性事件,暴露 AI 公司表面是模型/护栏问题,根因是开源依赖治理[来源 #3]。

  • NHI(非人类身份)与影子 Agent 检测:随着 Agent 大量部署,"Agent 的身份管理"成为新安全需求;2026 年仍在使用的密码终将被淘汰,无密码认证 + NHI 管理 + 零常驻权限成为新主轴[来源 #2]。

  • AI 工具被武器化:黑客使用 Claude Code 和 GPT-4.1 从 9 个墨西哥政府机构窃取数亿条公民记录——AI 编程工具的自动化能力成为攻击者加速器,与 Anthropic/360 的"防御用智能体"形成镜像[来源 #3]。

  • AES(Agentic Endpoint Security,智能体端点安全):Palo Alto 2026-04-14 收购 Koi 时正式命名的 endpoint security 新品类,定位为"保护运行在员工电脑、开发机、浏览器、IDE、本地环境里的 AI Agent"。核心治理对象不是 malware,而是"合法安装、合法登录、合法调用工具、合法读取数据"的 autonomous actor。覆盖 software / packages / MCPs / extensions / AI models / AI agents / containers 全生态,并在到达 endpoint 之前进行 install-time 治理("Secure anything with an install button")[来源 #8]。

  • Ultimate Insider Threat(人授权的 agent):Palo Alto 产品负责人对"agentic AI 在 endpoint 上的威胁本质"的定性。过去 insider threat 是人,现在 insider threat 是"人合法授权的 agent"——它用员工权限读公司代码 / 文档 / 邮件 / CRM / 工单 / 数据库,调用 shell / 浏览器 / IDE / MCP server / API key / SaaS connector,全程"不是黑进来的,而是员工亲手装上的"[来源 #8]。

  • Shadow AI 2.0(影子 AI 新形态):从 1.0 阶段"员工偷偷复制资料进 ChatGPT"演进到 2.0 阶段"员工在本机装 Cursor / Claude Code / 浏览器 agent / VS Code extension / MCP server / npm·PyPI 包 / 本地模型 / 各种 AI helper"。风险维度从"网页聊天数据泄露"扩展为"数据泄露 + 工具调用 + 代码执行 + 凭证滥用 + 软件供应链投毒"五重叠加[来源 #8]。

  • Supply Chain Gateway(供应链入口治理):Koi 提出的 AES 核心机制——把 GitHub / Hugging Face / Chrome Web Store / VS Code Marketplace / Homebrew 等"有安装按钮的入口"纳入统一控制面,关联 code diff / runtime behavior / ownership change / update channel / network egress / install source 多维信号做风险评分。区别于传统 EDR 的 file hash 黑白名单,这是 install-time + 跨入口的供应链治理语言[来源 #8]。

方法论与框架

框架一:从 SOAR 到 Agentic SOC 的四代迭代(GigaOm)

GigaOm 把当前雷达定位为"SOAR 经过四次迭代后的自然演进"。从低代码工作流(确定性、playbook 预编排、可审计但可扩展性差),逐步走向 LLM 嵌入式增强(设计时/包装器),最终走向 LLM 原生智能体调查响应。判断厂商技术代际的关键标尺:是否仍把"预配置剧本数量"作为卖点、还是用"智能体自治调度工具数量"作为卖点[来源 #5]。

框架二:SecOps 能力评估三层叠加

评估一款 SecOps 自动化产品是否能拿全维度高分,要看其是否同时具备:

关键能力不缺它的后果缺它的后果
前 LLM 数据层摄取、语义化、去重、上下文化日志/配置/代码/身份/威胁源LLM 推理有可靠输入LLM 被"幻觉 + 上下文超限"反噬
AI 智能体调查Triage / Investigate / Detect 三类 Exabot 自治推理替代分析师完成调查仍需大量人工剧本编排
集成编排底盘SIEM/SDL 接入、案例管理、检测即代码、API 编排落地到现有 SOC 工具链闭门智能体无法对接现实

简单嫁接 AI 功能的方案生命周期 < 1 年[来源 #2, #5]。

框架三:玻璃之翼式临界点后的防御方策略

Anthropic 提出的临界点应对组合:

  1. 暂缓公开发布:高风险能力先做受控访问,不直接商业化。
  2. 跨厂商协作:把 AI 漏洞发现能力开放给行业巨头 + 开源基金会用于修复。
  3. 资源投入:1 亿美元模型使用额度 + 400 万直接捐赠,覆盖 40+ 关键基础设施组织。
  4. 快速响应周期:90 天内公开报告经验、已修复漏洞、改进方案。
  5. 政策协同:向 CISA、NIST、国会预先通报全部功能(含进攻性)。

业界共识:"只有嵌入开发流程的 AI 原生应用安全工具才能弥合差距;AI 生成的代码需要以与其生成速度相同的对抗性审查"[来源 #1]。

框架四:CISO 从"困惑求知"到"主动布局"的跨越路径

适用于 40% 困惑求知型 CISO,需同步推进三件事:

  • 治理框架:建立 AI 资产清单 + 风险评估 + 数据流地图(先看到内部到底有多少 AI 在跑)。
  • 防护措施:先底层(数据基础/上下文引擎/智能控制平面),再叠加上层功能型 Agent。
  • 动态调整机制:把治理 + 防护做成"飞行中检修飞机"的循环,不等顶层规划齐备[来源 #2]。

框架五:漏洞挖掘智能体的能力来源

不是单一大模型暴力跑,而是"体系化经验沉淀 + 多专项智能体协同":

  • 360 的能力建立在"近 20 年网络安全攻防一线实战经验 + 全球顶尖安全专家知识沉淀"之上[来源 #4]。
  • Claude Mythos 的能力来源是"强大的智能体编码 + 推理 + 代理搜索 + 计算机使用"——四项任务上同时取得迄今最高分[来源 #1]。
  • 共同结论:能力护城河 = 领域 know-how 数据 + 多专项 Agent 协同架构,而非单纯堆模型参数。

框架六:数据主权防御组合——数据安全网关 + 数字水印 + 合规审计三件套

针对"AI 公司 / SaaS 接入大模型"的隐性数据外泄问题(参考 [商业策略/10] SaaS 数据生死局),AI 时代防御方需在传统等保/边界防御之上叠加三件套 [来源 #6, #7]:

组件工程实现拦截的威胁与本方向关键洞察的接合
数据安全网关(DLP for AI)在 SaaS 与外部 LLM 接口之间插入代理层,自动脱敏、过滤、审计数据流"经验内化"(大模型通过 API 调用偷学行业规律)与洞察 5「AI 公司新攻击面」镜像——既要防外来供应链攻击,也要防内部数据外流
数字水印(Digital Watermarking)在不得不输出的数据流中嵌入肉眼不可见、不影响业务的专属标记数据被用于训练通用模型(事后法律取证)与玻璃之翼计划的"政策协同 / 政府通报"互补——技术取证 + 法律追责双轨
个保合规审计GB/T 46903—2025 框架下定期审计(处理超 1000 万人每两年一次)+ 重大事件触发专项审计合规问责风险(监管处罚、客户违约)与洞察 3「CISO 认知分层」呼应——合规审计是 CISO 从困惑到主动布局的必经入口

三件套的层次关系:

  1. 网关 = 事前(数据离开企业之前就脱敏)
  2. 水印 = 事中(万一泄露可追溯)
  3. 审计 = 周期性回检(合规体系定期闭环)

触发"专项审计"的常见情形(GB/T 46903—2025):

  • 监管部门责令(事件后审查)
  • 个人信息泄露事件影响超过 100 万人
  • 处理活动有"较大风险"(自动化决策、跨境传输、敏感个人信息)

对 AI 安全产品经理的启示:

  • 数据安全网关产品机会:在 SaaS 与大模型接口之间,插入数据脱敏 + 流量审计 + 异常检测
  • 数字水印模块:可作为云安全/数据安全产品的差异化能力
  • AI 数据安全评估服务:帮企业识别"哪些数据接口存在经验内化风险"——这本身就是一个有价值的咨询产品

参见姐妹方向《AI 系统安全攻防体系》的框架九(SaaS 三大防御手段)和框架十(个保合规审计三套体系),本方向侧重"防御产品形态",姐妹方向侧重"防御技术框架"——两者互补 [来源 #6, #7]。

框架七:AES + EDR 三阶段路径(不要 rip and replace)

针对"2026 年 AES 品类刚被命名、企业现有 EDR 仍是主力"的现实,Palo Alto 在 Koi 收购公告中明确"Koi 可与客户现有 EDR 并存"。甲方采购的合理路径分三段[来源 #8]:

阶段时间窗动作关键判断
并存2026 年EDR 继续负责 malware / ransomware / process behavior / lateral movement / incident response;AES 负责 agent / MCP / extensions / packages / models / non-binary software / install governance互补不替代
升级2026-2028 年已是 Palo Alto / CrowdStrike / Microsoft / SentinelOne / Zscaler 客户:先看现有平台是否有 AES module → 试点 → 不急着换底座采购重点是"补盲区"而非"换底座"
融合2028 年之后AES 被融合进 XDR / AI Security Platform,可能改名 AI Endpoint Control / Agent Governance / AI Runtime Security / Agentic XDR"名字会变,预算会留"

什么时候才考虑替换 EDR:只有一种情况——EDR 合同到期 + 另一个 XDR 平台已同时提供成熟 EDR + AES + identity + cloud + SIEM/SOAR integration,且试点中证明检测 / 响应 / 性能 / 误报 / 合规都不输现有方案。否则不要为一个新概念替换核心 EDR[来源 #8]。

历史类比警示:CASB 后来被 SASE 吃掉、CWPP/CSPM 被 CNAPP 整合——AES 大概率也会被更大的 AI security platform / XDR platform / endpoint platform 吸收。这是甲方做 5 年规划时需要预判的[来源 #8]。

框架八:AES 七种适用场景判断(甲方自检清单)

满足下面任意三条以上即应开始评估 AES[来源 #8]:

  1. 研发团队已大规模使用 AI coding agent(Cursor / Claude Code / Copilot 等)
  2. 公司允许员工自行安装 VS Code extensions / browser extensions / MCP servers / Homebrew / npm / PyPI / 容器镜像 / 本地模型
  3. 员工 endpoint 上有源代码 / 客户数据 / 财务数据 / 内部文档 / API key / 生产环境凭证
  4. 公司已出现 Shadow AI 但安全团队没有完整 inventory
  5. 处于金融、医疗、SaaS、政府、制造、能源、法律、咨询等高敏感行业
  6. 已经在做 AI agent 项目,并计划让 agent 调用真实业务系统
  7. 董事会 / 监管已经在问"AI 工具访问了哪些数据?谁批准的?是否可审计?"

推荐切入顺序:先做"开发者 endpoint"(代码 / 密钥 / 包管理器 / IDE / Git / CI/CD token / 云权限聚集地)→ 再做"高权限员工 endpoint"(财务 / 法务 / HR / 销售运营 / 数据分析 / 安全运营)[来源 #8]。

框架九:甲方采购 AES 的 12 个供应商提问(识别"伪 AES"产品)

这 12 个问题是 Koi 产品定义反推出的 AES 能力清单,能直接过滤"只是 EDR 控制台加个 AI tab"的伪品类产品[来源 #8]:

#问题验证的能力维度
1能不能发现所有 AI agents / MCP servers / browser extensions / IDE extensions / packages / local models / containers?资产发现完整性
2是只做 inventory,还是能做 pre-install blocking?install-time 治理 vs 仅观测
3能不能识别 publisher ownership change / update channel drift / 代码差异 / 异常 network egress?多维风险信号关联
4能不能按用户 / 部门 / 设备敏感度 / 数据级别制定策略?策略粒度
5能不能接入 IdP / MDM / EDR / SIEM / SOAR / DLP / SASE?平台集成度
6能不能解释为什么某个 agent 或 extension 高风险?风险可解释性
7能不能支持审批流,而不只是 allow / block?中间态处置能力
8能不能记录 agent 调用了什么工具 / 访问了什么系统 / 拿了什么权限?工具调用审计
9能不能治理 MCP server,而不只是扫描网页 AI 工具?MCP 治理深度
10能不能覆盖开发者工作流,而不逼研发团队绕过安全?开发者体验摩擦
11能不能把风险映射到 MITRE / SOC alert / 合规报告?与 SOC / 合规框架对接
12能不能证明自己不是"AI security dashboard",而是真能在 endpoint 上执行控制?控制 vs 仅可视化

应用方式:12 问连续问完,大部分包装成 AES 的"伪 AES"产品(EDR + AI 仪表盘 / 单纯 inventory 工具)会自动露馅[来源 #8]。

(来源:用户提供文本「Palo Alto花30亿买下Koi:AI Agent时代,EDR第一次失明了」,2026-05-19)

案例库

案例 A:Claude Mythos + 玻璃之翼计划(攻击端临界点 + 防御端协作样板)

  • 背景:Anthropic 2026-04-07 发布 Mythos(第四层级 Copybara,超越 Opus 4.6 与所有现有前沿模型);该模型在编码、推理、代理搜索、计算机使用四项任务上同时取得最高分。
  • 做法:暂缓公开发布 → 受控访问 → 玻璃之翼计划开放给 40+ 合作伙伴(亚马逊、苹果、博通、思科、谷歌、微软、英伟达、摩根大通、CrowdStrike、Palo Alto Networks、Linux 基金会、Apache 软件基金会、Alpha-Omega、OpenSSF)→ 90 天周期公开报告。
  • 结果:发现 OpenBSD 27 年漏洞(自动测试 500 万次未触及)、FFmpeg 16 年漏洞、Linux 内核漏洞链(可串联从普通用户到完全控制);数千个零日漏洞被自主识别,几乎涵盖所有主流操作系统/浏览器/重要软件;1 亿美元使用额度 + 400 万美元捐赠(Linux 基金会 250 万、Apache 150 万);定价每百万输入/输出词元 25 美元/125 美元。
  • 启发:高风险 AI 能力的"负责任发布范本"——延迟商业化 + 生态协作 + 政策同步通报。但同样的能力如何避免落入对手手中,业界判断"几乎是毋庸置疑会扩散"[来源 #1]。

案例 B:360 漏洞挖掘智能体(中国首次披露规模化能力)

  • 背景:周鸿祎判断网络安全将从"人与人对抗"进入"人与机器、机器与机器对抗"新阶段,传统安全体系正全面失效。
  • 做法:基于 360 近 20 年攻防一线实战经验 + 全球顶尖安全专家知识沉淀,通过多类专项智能体协同分析,实现漏洞发现、验证、利用链构建关键环节自动化。
  • 结果
    • Windows 内核提权漏洞(CVE-2026-24293),潜伏 5 年,影响全球超 10 亿 Windows 用户。
    • Office 远程代码执行漏洞,潜伏 8 年,Critical 级别,影响全球超 10 亿 Office 用户,获微软 MSRC 致谢。
    • 累计挖掘近千漏洞,CNNVD/CNVD/厂商确认高危 50+ 项。
    • 覆盖 Windows、Office、OpenClaw、AI 编程工具、国产操作系统、安卓、邮件服务器、IoT、OA 系统。
    • 分钟级定位(vs 传统数月至数年)。
  • 启发:与 Anthropic Mythos 的关键差异在公开策略——360 公开披露已投入实战应用,Anthropic 选择受控访问;中美两套不同的能力披露策略已经显形[来源 #4]。

案例 C:Axios npm 供应链事件(AI 公司新攻击面)

  • 背景:Axios 是被广泛依赖的 npm 包,OpenAI 在多处使用。
  • 做法(攻击者):入侵维护者账户 → 发布恶意更新 → 经由依赖链注入 OpenAI 系统。
  • 结果:OpenAI 紧急轮换 macOS 证书。
  • 启发:AI 公司表面看是模型/护栏问题,根因是开源依赖治理;防御建议——npm 锁文件 + 依赖审查流程 + 异常更新监控[来源 #3]。

案例 D:墨西哥政府数据被 AI 工具窃取

  • 背景:9 个墨西哥政府机构,数亿条公民记录。
  • 做法(攻击者):使用 Claude Code 和 GPT-4.1,借助 AI 编程工具的自动化能力加速数据窃取。
  • 结果:数亿条公民记录外泄。
  • 启发:AI 编程工具的双刃剑效应已从理论走向实战;防御方需审查开发环境 AI 工具使用、强化凭证安全、监控 AI 工具异常行为[来源 #3]。

案例 E:Exaforce 站上 Innovation/Feature Play Outperformer

  • 背景:GigaOm SecOps 自动化雷达首次发布,19 家厂商参评。
  • 做法:Exabots(Triage/Investigate/Detect 三类智能体)+ Advanced Data Exploration Platform(前 LLM 语义化数据层)+ 多模型 AI 引擎(深度学习/ML/知识图谱/LLM 融合);零日检测用隔离森林、决策树等传统 ML 而非 LLM;行为智能体定期重审历史误报。
  • 结果:零日响应、威胁关联、前 LLM 数据层三个维度均拿 5 星;Key Features 平均 3.4,Emerging Features 平均 3.9,综合 3.9;三层 SaaS 定价(基础 Triage + Investigate / 高级加 Detect / 企业层 24/7 MDR 混合);位列 Innovation/Feature Play 象限 Outperformer,与 Imperum 并列。
  • 启发:多模型融合 + 不押注单一 LLM 是漏洞挖掘和 SOC 智能体共同适用的工程哲学;零日属于 ML 主场而非 LLM 主场[来源 #5]。

案例 F:5219 台 Rockwell PLC 暴露于伊朗 APT

  • 背景:Censys 发现 5219 台 Rockwell PLC(可编程逻辑控制器)直接暴露于互联网,大多位于美国。
  • 做法(攻击者):APT 组织瞄准能源、水、交通及国防工业基础。
  • 结果:美国发布联合 advisory;关键基础设施进入高危状态。
  • 启发:在 AI 攻防全面升级的同时,传统工控暴露面治理仍未到位;CISO 优先级排序时不能忽视"老问题"[来源 #3]。

案例 G:Palo Alto 收购 Koi(2026-04-14)——AES 品类诞生与 Prisma AIRS 2.0 控制台

  • 背景:Palo Alto Networks 在玻璃之翼合作伙伴名单内(案例 A),其 AI 安全产品线 Prisma AIRS 已于 2025-10 升级到 2.0 版本,定位"保护企业 AI 全生命周期,从 autonomous agents 到 models",并援引数据"78% 组织在用 AI 转型,但只有 6% 有足够 guardrails"。
  • 做法:完成对 Koi("Secure anything with an install button")的收购,媒体披露金额约 4 亿美元(官方未公开);正式命名 Agentic Endpoint Security(AES) 新品类;同步集成至 Prisma AIRS 形成"企业级 AI adoption control plane",并增强 Cortex XDR 识别 AI 软件生态风险;保留 Koi 作为独立产品并允许与客户现有 EDR 并存。
  • 结果:Palo Alto AI 安全版图成型——模型安全(Protect AI)+ Agent 安全(Koi/AES)+ 身份安全(CyberArk)+ Endpoint 安全(Koi)+ XDR 响应(Cortex)。Koi 的核心定位是"Supply Chain Gateway"——把 GitHub / Hugging Face / Chrome Web Store / VS Code Marketplace / Homebrew 等"有安装按钮的入口"纳入统一治理,关联 code diff / runtime behavior / ownership change / update channel / network egress / install source 多维信号做风险评分。
  • 启发:①安全对象的根本变化——从保护"设备 / 文件 / 进程 / 网络连接"扩展到保护"设备上的 autonomous actors",传统 EDR 的"是不是坏的"问句被升级为 AES 的"这个 agent 为什么在这里 / 谁装的 / 能访问什么 / 调用了什么 / 数据发到哪里 / 是否越权"。②Palo Alto 在抢 category ownership——该公司历史上吃过下一代防火墙、SASE、XDR 三次品类红利,AES 是第四次尝试;该模式比"做一个功能"更赚钱,定义了未来 5-10 年的预算流向。③市场规模天花板的三个参照物:endpoint security 2026 ≈ $23.34B(Mordor Intelligence),EDR 2026 ≈ $7.23B(Fortune Business Insights),Gartner 预测 2028 年 33% 企业软件含 agentic AI、15% 日常决策由 agent 完成——AES 市场不来自"多卖一个杀毒软件",而来自"AI adoption 的安全刹车"。2026—2028 数亿至低十亿美元,2028 之后进入 $10B 级别平台层赛道[来源 #8]。

关键洞察

  1. 攻防天平短时间内不可逆地向"AI 攻 + AI 守"倾斜:Anthropic(Mythos,2026-04-07)与 360(漏洞挖掘智能体,2026-04-17)几乎同期披露规模化漏洞挖掘能力,分别发现 OpenBSD 27 年漏洞、Windows 内核 5 年漏洞、Office 8 年漏洞,标志攻防双方都进入 AI 自主时代,"传统系统加固方式已不再足够"——思科首席安全官与周鸿祎在不同语境给出相同判断[来源 #1, #4]。

  2. 能力扩散周期从"年"压缩至"月":Anthropic 与 Futurum Group 同时强调 Mythos 的能力扩散时间是以"月而非年"衡量;这与 RSAC 2026 现场判断的"简单嫁接 AI 功能的方案寿命 < 1 年"在同一时间尺度上[来源 #1, #2],意味着防御方的"赶得上模型"窗口被极度压缩。

  3. CISO 认知分层与厂商代际错位形成"双重滞后":40% 后知后觉的 CISO 仍在主导采购,叠加 GigaOm 雷达上 Forward Mover(缓步前进)厂商全部集中在 Maturity/Platform Play 象限(Palo Alto Cortex XSOAR、Fortinet FortiSOAR、Splunk/Cisco SOAR),意味着"决策最慢的买方 + 进化最慢的卖方"形成正反馈,正是 LLM 原生新生代(Exaforce、Imperum、Dropzone AI、Prophet Security、Radiant Security)的市场窗口[来源 #2, #5]。

  4. AI 安全不是单点功能,是"三层叠加"才能拿到全维度:前 LLM 数据层 + AI 智能体调查 + 集成编排底盘缺一不可——光做 Agent 体验、不做语义化数据层会被"幻觉 + 上下文超限"反噬;只做集成不做智能体则被新生代降维打击。RSAC 现场观察"简单嫁接 AI 功能的方案生命周期不超过一年"与 GigaOm Emerging Features 8 项全部围绕 LLM/数据层布局是同一规律的两个表达[来源 #2, #5]。

  5. 供应链攻击 + AI 工具被武器化构成 AI 公司的新攻击面:Axios npm 事件让 OpenAI 紧急轮换 macOS 证书;同周 9 个墨西哥政府机构数亿条记录通过 Claude Code/GPT-4.1 被窃取。这两类事件揭示——AI 公司和 AI 用户都面临"开源依赖 + AI 工具自身能力"的双重攻击面,靠模型护栏无法兜底,必须把治理边界推到依赖链和开发环境[来源 #3]。

  6. 零日属于 ML 主场而非 LLM 主场:Exaforce 用隔离森林、决策树等传统 ML 处理新型攻击模式拿到零日响应 5 星——"不是所有问题都给 LLM 做"应成为安全产品技术选型评审的硬性原则;这一观察与 Anthropic 把 Mythos 定位为"主要研究者"但仍强调护栏机制并不矛盾,反而互补[来源 #1, #5]。

  7. 漏洞潜伏年限揭示传统检测体系的盲区:OpenBSD 27 年、FFmpeg 16 年、Office 8 年、Windows 内核 5 年——这些漏洞经过数十年人工审查 + 数百万次模糊测试都未被发现,说明 AI 智能体可能是发现深层漏洞的唯一有效路径;同时也意味着存量基础软件中潜藏的"已存在但未发现"漏洞数量远超此前估计[来源 #1, #4]。

  8. 安全对象的根本变化:从保护设备 → 保护设备上的 autonomous actors:过去 endpoint 上的安全对象是 user / process / file / network connection;AI Agent 时代多了一类新主体——"能理解目标 / 调用工具 / 读写数据 / 跨系统行动 / 把 prompt 变成一串操作"的 autonomous actor。EDR 问"这个进程是不是坏的",AES 问"这个 agent 为什么在这里 / 谁装的 / 能访问什么 / 调用了什么 / 数据发到哪里 / 是否越权 / 是否应该继续存在"。这不是功能升级而是安全对象升级——从"检测恶意软件 → 治理合法 agent"、从"事后响应 → 安装前控制 + 运行中审计 + 权限内约束"[来源 #8]。

  9. AI 公司守 agent-native safety,安全公司守 enterprise-wide governance,平台型厂商做融合:AES 不会被"纯 AI 公司"或"纯安全公司"独赢。AI 公司(OpenAI / Anthropic / Google / Microsoft)懂模型推理 / 工具调用 / prompt injection 边界,能把安全做进 UX(agent 自己知道何时该问人、何时降权、何时拒绝),但不够中立(CISO 想买的是"all agents security"而非"Claude security")+ 缺 endpoint control plane + 与"让企业多用 agent"的商业目标冲突。安全公司(Palo Alto / CrowdStrike / Microsoft Security / SentinelOne / Zscaler)已在 endpoint 上 + 已有 CISO 预算 + 已接 SIEM/SOAR/IdP/DLP/SASE/CASB/XDR + 天然跨模型跨 agent 中立,但不一定懂模型内部 + 易把新问题做成老产品(AES = EDR + AI tab 的伪品类陷阱)+ 容易伤害开发者体验。最终格局:AI 公司负责 agent-native safety,安全公司负责 enterprise-wide governance,平台型厂商把两者打通[来源 #8]。

  10. AES 市场来自 AI adoption 的"安全刹车"而非"多卖杀毒软件":企业越想让 agent 写代码 / 查数据 / 跑流程 / 调系统 / 操作浏览器 / 调用 SaaS,AES 的必要性越高。Gartner 预测 2028 年 33% 企业软件含 agentic AI、15% 日常决策由 agent 完成,同时 2027 年底 40% agentic AI 项目会因风险被取消——这两个数据合起来揭示:AES 的预算同时由"想用 agent"和"用不起来 agent"两类需求驱动。2026-2028 数亿至低十亿美元,2028+ 进入 $10B 平台层;但 AES 大概率会像 CASB 被 SASE 吃掉、CWPP/CSPM 被 CNAPP 整合那样,被更大的 AI security platform / XDR / endpoint platform 吸收——"名字会变,预算会留"[来源 #8]。

观点张力

  • AI 漏洞能力公开 vs 暂缓的策略分歧:Anthropic 选择暂缓 Mythos + 玻璃之翼跨厂商协作;360 选择公开披露成果并强调"已投入实战应用"。背后是"美中两套不同的能力披露策略"——前者赌"受控扩散 + 防御者抢时间",后者赌"震慑 + 国家漏洞库通道"。两条路径在 2026 年没有谁明显占优,但都默认了 Hunted Labs 的判断:"Mythos 落入对手手中几乎毋庸置疑"[来源 #1, #4]。

  • 平台扩展派 vs 智能体原生派的赢家路径:传统 SOAR 厂商加 AI 副驾驶(Palo Alto、Fortinet、Splunk)vs LLM 原生厂商重建底盘(Exaforce、Imperum、Dropzone AI)。GigaOm 雷达没有给出结论,但 Forward Mover 全部集中在传统 SOAR 一侧是一个反直觉信号——大客户合同结构和工程债是否会拖死老牌厂商的 AI 改造速度,是 2026—2027 年最值得跟踪的市场变量[来源 #5]。

  • AI 编程工具:生产力 vs 攻击武器:Claude Code 一方面在 RSAC 现场作为"应用安全 AI 重塑"的代表产品(Claude Code Security 嵌入软件开发生命周期),另一方面在墨西哥政府数据泄露案中被攻击者直接用于数据窃取自动化。同一个工具在 12 大趋势中既是"AI 编程工具显现实效"又是"AI 工具被武器化"——这种双重身份是所有 AI 编程工具厂商必须正视的产品边界问题[来源 #2, #3]。

  • 公开漏洞 vs 囤积漏洞:玻璃之翼计划主张防御者抢时间公开协作修复;但美国机构"已经囤积了大量黑客攻击漏洞利用程序以备将来使用"——同一国家内部的攻防一体性已经在张力点上[来源 #1]。

  • AI 公司 vs 网络安全公司谁能赢 AES:AI 公司有"懂模型 / 掌握 agent 产品入口 / 能把安全做进 UX"三大优势,但不够中立("all agents security" ≠ "Claude security")、缺 endpoint control plane、有"多用 agent vs 安全用 agent"商业冲突;安全公司有"已在 endpoint 上 / 已有 CISO 预算 / 已接 SIEM-SOAR-IdP-DLP-SASE-CASB-XDR / 天然跨模型跨 agent 中立"四大优势,但不懂模型内部 / 易把新问题做成老产品(EDR + AI tab)/ 易伤害开发者体验。最终格局:AI 公司负责 agent-native safety,安全公司负责 enterprise-wide governance,平台型厂商把两者打通;企业 AES 主控制台大概率属于安全公司。Palo Alto 买 Koi 是在抢"enterprise-wide governance"这个位置[来源 #8]。

待探索问题

  • 当 AI 漏洞挖掘能力下沉到攻击者手中,"零日"这个概念是否将彻底失去意义?防御方需要建立怎样的实时响应基础设施才能应对"分钟级新漏洞"?
  • "玻璃之翼"式跨厂商协作能否扩展到全球?还是会出现地缘版本(中美各自闭环、欧盟另起一摊)?法国弃 Windows 转 Linux 是否是这种闭环倾向的早期信号?
  • Agentic SOC 替代分析师的边界在哪里?人机分工的稳定形态是"分析师管护栏 + Agent 跑流水线"还是"Agent 跑全链路 + 人审异常"?
  • 供应链 + 关键基础设施 + AI 工具被武器化三重威胁叠加时,CISO 的优先级如何排序?现有的"立即更新 + 供应链审查 + 工控隔离 + AI 工具治理 + 用户培训"五件套是否需要重排?
  • 360 漏洞挖掘智能体提到的"多类专项智能体协同分析"具体是哪几类?是否会演化出"漏洞发现 Agent 群"的标准化架构?
  • GigaOm 雷达上"Forward Mover 集中在传统 SOAR"是结构性的还是周期性的?大客户合同结构是否真的不允许快速换底盘?
  • NHI(非人类身份)和影子 Agent 检测在 2026—2027 年是否会上升为身份管理新主轴?无密码 + NHI + 零常驻权限的标准化路径在哪里?
  • AI 浏览器扩展更可能包含已知漏洞 + 具有敏感权限——这是否预示"AI 增强的终端"将成为继 Agent 之后的下一个攻击面? 【已被 Palo Alto/Koi/AES 部分回答,2026-05-19】:Palo Alto 2026-04-14 收购 Koi 并命名 AES 品类,证实了"AI 增强的终端"是新攻击面;但 AES 是否会像 CASB 被 SASE 吞并、CWPP/CSPM 被 CNAPP 整合那样被吸收,仍是 5 年级别的开放问题。
  • AES 的最终归宿是被 XDR / AI Security Platform / Endpoint Platform 吞并吗? 历史类比是 CASB → SASE、CWPP/CSPM → CNAPP。如果会,时间窗口大概在 2028-2030;如果不会,AES 自己能不能撑起一个 $10B 级别独立赛道?是否会出现"AES 优先 + 模型护栏 / IAM / DLP 全打通"的新一代平台型厂商?[来源 #8]
  • AES 标准化路径:12 个供应商提问能否演化为行业标准(如 OWASP AES Top 10 / CSA Agentic Endpoint Governance)?MITRE / NIST 是否会把 AES 纳入企业安全控制库?

来源索引

#标题来源收录日期贡献章节
1Claude Mythos:AI 漏洞发现能力跨越临界点与玻璃之翼防御计划奇安网情局编译2026-04-13攻击端能力跃迁 / 玻璃之翼 / 案例 A
2RSAC 2026:AI 重塑网安行业 12 大趋势与 CISO 认知分层RSAC 2026 现场观察2026-04-07CISO 认知分层 / 12 趋势 / 三层叠加方法论 / NHI
32026 年 4 月第二周网安威胁态势:供应链攻击、AI 安全、APT 与关键基础设施安全 419 周报2026-04-14威胁态势 / 供应链 / AI 工具被武器化 / 案例 C/D/F
4360 漏洞挖掘智能体:中国首次披露规模化发现基础软件核心漏洞能力360 集团新闻稿2026-04-17攻击端能力跃迁 / 范式迁移三阶段 / 案例 B
5GigaOm SecOps 自动化雷达——从 SOAR 到 Agentic SOC 的 19 厂商全景演进GigaOm Radar v1.02026-05-09防御端范式 / 厂商雷达 / 三层叠加 / 案例 E
6[商业策略/10] SaaS 数据生死局——大模型虹吸与三大防御手段牛透社(用户提供正文)2026-04-13框架六(数据安全网关 / 数字水印的产品形态视角)
7[商业策略/15] 个人信息保护合规审计——法定义务与法规体系用户提供正文2026-04-17框架六(GB/T 46903—2025 个保审计触发条件与企业前置项)
8Palo Alto 花 30 亿买下 Koi:AI Agent 时代,EDR 第一次失明了——AES 品类诞生用户提供文本2026-05-19AES 品类节点 / 4 核心概念(AES / Ultimate Insider Threat / Shadow AI 2.0 / Supply Chain Gateway)/ 框架七-九 / 案例 G / 洞察 8-10 / 观点张力(AI 公司 vs 安全公司)

演进记录

日期版本变更摘要
2026-05-13v1.0首次构建,由 5 篇源文件批量合成。覆盖攻击端能力跃迁、防御端范式迁移、CISO 认知分层、威胁态势、厂商雷达 5 大维度。共沉淀 7 条跨文件洞察、4 组观点张力、8 个待探索问题
2026-05-19v1.1/route-knowledge 路由整合"Palo Alto 收购 Koi/AES 品类诞生"长文。新增:知识图谱「AES 新品类」节点 + 4 个核心概念(AES / Ultimate Insider Threat / Shadow AI 2.0 / Supply Chain Gateway)+ 3 个框架(AES+EDR 三阶段路径 / AES 七种适用场景 / 12 个供应商提问)+ 案例 G(Palo Alto/Koi 收购)+ 关键洞察 8-10 + 观点张力(AI 公司 vs 安全公司)+ 来源 #8 + 待探索问题更新与新增

MIT License