近日,第二届腾讯云黑客松智能渗透挑战赛决赛圆满结束。这是国内首个以AI智能体为核心的智能安全攻防赛事。
与以往真人操作不同的是,本次比赛要求参赛队伍使用国内外的大语言模型开发原创的AI智能体,并且整个过程无人工干预,全靠AI在云端虚拟靶场进行漏洞探测、闯关和获取通关标志。
比赛设置了四大级别的挑战区域,从基础漏洞挖掘逐渐过渡到高级企业内部网络渗透。赛事方根据参赛队伍的成绩及攻防表现综合评定最终排名。决赛共有10支队伍进入最后阶段,其中绿盟科技的“ai小分队”凭借出色表现荣获冠军,并获得6万元奖金。
天翼安全、京东科技以及清华大学等其他团队也取得了不错的成绩。
在整个比赛过程中,最令人意外的是一个看似简单的密码问题将所有参赛AI难住了。这个密码是"Ftp@2026",虽然简单明了,但由于大模型训练数据截止到2023年,使得这些AI无法识别2026年的信息。
由此可以看出,在AI的认知世界中只有2023年及其之前的数据存在,这限制了它们解决问题的能力。尽管如此,这项赛事仍然吸引了来自全国各地的近六百支队伍和一千三百多名安全专家及开发者参与其中。
在决赛当天下午举行的圆桌讨论会上,腾讯云的安全专家团队与冠军队伍共同探讨了智能体时代下的安全攻防问题,并对大小模型协同架构、AI安全性边界以及新的防御策略等议题进行了深入交流。
李鑫表示,在比赛初期,参赛选手们进展迅速。然而令人意想不到的是,最终出现了一道看似简单的密码题让所有参赛团队都束手无策,甚至包括冠军队伍在内也未能成功破解该难题。
本次赛事共吸引了来自不同领域的一千三百多名安全研究者与开发者报名参赛,其中包括多家企业安全团队和高校学生。值得一提的是,一些年轻的新生代选手也在比赛中崭露头角,展示了他们的实力。
决赛期间,十强队伍依次进行了路演展示,分享各自的智能体设计思路及实现方案。“ai小分队”凭借其创新性的三层架构以及Harness框架理念最终脱颖而出。
李滨总结了AI攻防的理想架构模式:通用大模型、垂类模型和智能体三者之间不是替代关系而是互补合作。他认为,在时间和成本的限制下,大小模型结合使用才是未来发展的趋势。
在比赛中,各参赛团队在Token消耗上的花费大约为7000元至1万元不等。这是因为AI进行渗透测试时需要大量扫描靶场环境、捕捉细微线索并尝试各种可能的方法来找到突破口,这使得进攻任务的计算成本远高于常规的安全防御作业。
关于网络安全防护的概念,李鑫认为,在某种程度上它只是一种心理上的安慰,并不存在绝对安全的状态。攻防博弈的核心在于成本问题,而AI时代的到来改变了这种平衡状态。
过去由于防御人才不足和体系存在短板等原因导致攻击方能以极低的成本对防御系统造成重创。但是随着技术进步和技术平权的趋势日益明显,防御端借助人工智能的能力快速提升,整个攻防格局正在被重新定义。
未来安全防护将更加依赖于算力支持,并且会从人工干预转变为系统的自我修复机制。
随着AI的广泛应用,网络安全领域面临着三大本质变化:漏洞数量激增、身份信任体系重构以及传统的防御逻辑需要进行根本性的调整。具体来说,智能体的引入打破了原有的权限模型;新的攻击方式使得恶意指令可以在跨系统和跨权限环境下执行。
为了应对这些挑战,张迅迪建议加强二次认证机制以阻断连续推进,并部署欺骗性防御手段来拖延时间以便于防守方做出反应。同时还需要更加细致地进行核心数据加密等基础防御措施。
总结而言,AI技术正重塑着网络安全攻防体系,未来将进入一个“AI对抗AI”的长期博弈阶段,在这个过程中时间和效率将会成为决定胜负的关键因素。
从本届参赛选手的设计方案来看,十强战队底层架构大体一致,普遍采用通用智能体的ReAct架构,差异主要集中在上层的任务编排逻辑与工具调用策略上。
本次智能渗透挑战赛中,各参赛团队Token消耗成本在7000元至1万元区间。李鑫解释,智能渗透进攻本身属于高消耗任务,不同于常规日志分析、样本研判等安全防御工作,AI进攻需要全程扫描靶场环境、捕捉各类细微线索,伴随大量试错和无效探测。渗透测试就像“翻垃圾箱”,需要从庞杂信息里筛选碎片、拼凑突破路径,因此赛事里负责进攻突破的AI智能体,大模型调用量与Token成本,远高于常规安全防御类作业。
二、所谓防御只是一种心理安慰?要搭建一套健壮的安全免疫系统
关于网络安全防御话题,李鑫认为,网络不存在绝对安全,所谓防御在某种程度上,只是一种心理安慰。
他向智东西解释了这句话背后的逻辑:安全攻防的本质是一场博弈,而这场博弈最关键的变量是成本。攻防双方的成本天生不对等,且这种成本边界还在不断变化。
过去,攻防失衡的情况非常严重。由于防御人才短缺、防御体系本身存在短板,攻击方往往可以用极小的成本,轻易对防御体系形成碾压性突破。
但进入AI时代后,局势已经彻底改变。李鑫说,技术平权趋势开始显现,防御端借助AI能力,整体防护提升的速度非常迅猛,整个攻防格局正在被重新改写。攻击方虽然也在借助AI升级手段,但防御侧的进步速度整体快于攻击侧。
在这样的新博弈关系下,企业和机构的防御投入逻辑也会随之改变,不管是硬件投入还是各类安全资源配置,都和过去完全不同,未来的防御体系会更加依赖算力支撑。
从攻击视角来看,李鑫认为,AI时代的攻击行为会越来越隐蔽。过去人工开展攻击,会带有个人行为习惯、思维局限和操作破绽,但在AI加持下,只需一条提示词、一条简单指令,就能完成高度隐蔽的攻击全程,很难被察觉。
李鑫告诉智东西,他和团队近期一直在观察研判攻防格局的演变,研讨如何真正实现“AI防AI”,落地“AI对抗AI”的安全防御体系。他们此前观察到,某智能体在遭遇攻击时,能够根据日志和环境信息自主判断被攻击、定位风险,并自行完成修复。李鑫认为,如今的AI和智能体,已经具备初步的自愈能力和免疫能力。
这也意味着,未来的安全防护,会从过去人工打补丁、人工处置的模式,全面转向系统自我防御。李鑫说,只要搭建一套健壮的安全免疫系统,系统就能自动识别攻击、自动完成防御对抗。
这是安全思维层面的根本性转变。李鑫坦言,传统的攻防思路在AI快速迭代的时代已经越来越局限,他们也希望多和白帽子、行业从业者线下交流碰撞,吸纳新生代从业者的不同视角,共同探索AI安全的全新方向。
三、AI带来三大安全本质变化:漏洞激增、信任重构、防护逻辑倒置
李滨梳理了AI浪潮带来的三项本质性安全变化。其一,AI大幅提升了软硬件研发效率,海量新增代码同步带来了指数级增长的基础缺陷,防御方需要处理的安全问题相比以往至少增加十倍。与此同时,传统供应链漏洞持续存在,而通过提示词和上下文注入植入恶意指令的新型攻击门槛大幅降低,隐蔽性也更强。
其二,智能体全面介入生产流程,打破了原有的身份信任模型。当用户以个人身份和权限授权智能体访问内部资源后,一旦出现操作失误或被恶意操控,就会直接以使用者身份执行删除文件、篡改数据等操作。多人与多智能体混合协作的场景下,权限混用、身份模拟、Token滥用等问题难以界定,身份判定将成为AI时代最棘手的底层难题。
其三,AI打破了系统间的隔离边界,彻底颠覆了传统安全防护逻辑,只要信息能够进入大模型上下文,恶意指令就可以跨系统、跨权限执行。当前多数智能体缺乏提示词安全校验和违规指令识别机制,传统层层设防的外部防护思路面临根本性挑战,防护方向不再只是抵御外部入侵,还要防范内部横向渗透与智能体之间的互信风险。
张迅迪则从应对侧补充了防御思路。针对AI攻击的自动化特点,可强化二次认证机制阻断连续推进,同时部署欺骗防御手段,对扫描和异常请求返回虚假信息,为防守研判争取时间。他同时强调,精细化权限管控、核心数据加密等传统基础防御在AI时代反而需要做得更细、更快,夯实基础防御叠加AI能力,才能有效应对攻击速度快、泛化能力强的新型威胁。
结语:AI重塑安全攻防体系,行业迈向“AI对AI”的长期博弈
从这场比赛的结果来看,AI在安全攻防领域的实战能力已经超出了大家的预期。原本设计供选手鏖战五天的赛程,头部战队两天内基本收尾;半年前被视为高难度的题目,随着模型迭代和开源生态的成熟,攻克难度下降。
但本次比赛中AI们没能破解的那道“Ftp@2026”密码题,也同样清晰地划出了当下智能体的能力边界。AI的短板不在算力,不在架构,而在于对真实世界的理解与对齐。一旦脱离训练数据的时间范围,再强的推理能力也可能陷入低级循环。这种认知缺口,在依赖环境感知与现实信息的安全攻防场景中,会被放大。
另一方面,从本次赛事也能观察到行业发展的潜在趋势。通用大模型、垂类模型与智能体三者协同的架构体系,或将成为AI智能体安全落地的方向。攻防对抗模式正逐步从“人对人”向“AI对AI”演变,而支撑这场演变持续推进的核心变量,是时间、效率与成本的权衡。
