漏洞永远修不完,“带洞防护”成必然
不久前,Anthropic公司超旗舰AI模型Claude Mythos的发布,如同一颗深水炸弹引爆了全球网络安全界。面对这一标志性事件,奇安信正式发布《Mythos事件白皮书——政企网络安全纵深防御体系建设思考》(以下简称《白皮书》)。
《白皮书》指出,Mythos直接点破了很多政企客户长期以来的一个误区:过去那种“发现漏洞、打补丁、再发现、再打补丁”的老办法,在AI批量化发动网络攻击的今天已经行不通了。现实情况是,漏洞永远补不完,与其疲于奔命地追着漏洞跑,不如换一种思路——承认漏洞客观存在,在此基础上建立真正能扛住攻击的防护能力。这就是“带洞防护”的核心理念。而要做到这一点,构建“三位一体”内生安全体系,是目前最可行、也是唯一系统性的解决出路。
Mythos冲击:老办法“挖洞修补”行不通了
Mythos问世后,全球主要国家及国际组织对此迅速响应,美国紧急启动联合40余家科技巨头的“玻璃翼计划”,英国、加拿大等国央行召开紧急会议评估金融风险,国际安全界联合发布的报告更是一针见血地指出,建立在边界防御、人工修补和被动响应之上的传统网络安全模式已彻底失效。国内许多政企机构的第一反应是:“我们能否也引入类似的AI模型,抢在攻击者之前挖出并修补自身所有漏洞?
《白皮书》给出了明确判断:这条路走不通。
道理很简单。Mythos已经把挖漏洞这件事,从过去专家花几个月、花几十万美元才能干成的手艺活,变成了像工厂流水线一样批量生产的东西。现在一个高危漏洞的挖掘成本,从几十万美元直接掉到了几千美元。这意味着黑客可以用极低的成本,对着全世界几百万个软件代码库不停地扫、不停地挖。
而对于防守方来说,漏洞被挖出来的速度,远远超过了你能打补丁的速度。旧的补丁还没打完,新的漏洞又冒出来了,随之带来无穷无尽的“补丁洪流”。靠甲方自己的力量或者买几个扫描工具去“自查自挖”,在黑客工业化的生产能力面前,就像拿水桶去接瀑布,根本接不住。想靠“挖洞-修补”这个循环来保住安全,在数学上和速度上都是注定要失败的。
正视现实:承认漏洞修不完,才是防守的开始
很多客户都在问:咱们国内的AI模型挖漏洞的能力,跟Mythos比到底差多少?
《白皮书》指出,客观来说,目前国内的AI安全模型确实有很强的实力,在漏洞挖掘这个领域已经走在世界前列。但必须承认,跟Mythos这种全球顶级的攻击模型相比,还存在代际的差距。
这个现实就决定了咱们防守的基调:既然黑客一定会用全球最厉害的AI武器来攻击,而我们在短期内又不可能用更强的攻击模型完全压制住对方,那么“带着漏洞进行防御”就成了所有政企单位不得不面对的唯一现实选择。
换句话说,我们需正视一个现实——系统里肯定有漏洞,而且永远修不完。与其追求那个不切实际的“零漏洞”理想,不如踏踏实实地在承认有漏洞的基础上,把防御能力建起来,确保业务不出事。
破解之道:依托内生安全,建设韧性的纵深防御
那么,如何在明知系统有漏洞的情况下,怎么还能保证单位不发生大的安全事故?《白皮书》给出了答案——建一套“高位、中位、低位”三位一体的内生安全体系,最终形成具备韧性、能够应对极端情况应急的纵深防御。
纵深防御它不是一个漂亮框架,不是一组产品拼盘,更不是把安全设备从外围往里再摆几层。AI时代的纵深防御,核心只有一句话:允许局部失守,但绝不允许单点失守演化为系统性沦陷。防守的目标不再是幻想零入侵,而是让攻击者即便进来,也走不深、拿不多、扩不散、打不穿。这才是未来几年真正有价值的安全能力。
可以说,下一代安全体系拼的不是“有没有被打”,而是“被打之后会不会一层穿透到全局”。如果一次身份冒用就能横向扫穿核心系统,如果一个外包终端失守就能摸到生产网,如果一个普通业务漏洞就能级联到关键数据和控制面,那说明这个体系根本没有纵深,只有摆设。真正有效的纵深防御,必须把身份、终端、应用、数据、网络和运营放在一个统一逻辑里,持续验证、最小授权、分区隔离、动态联动,让攻击者每前进一步都付出更高代价。
三位一体:多维能力、循序渐进夯实纵深防御
“三位一体”能力是实现纵深防御的关键,它的核心是把整个安全架构重新升级、理顺,让防护真正管用。用一个形象的比喻,就像给企业建一套完整的免疫系统:
低位能力——先把基础打牢,把明显的窟窿堵上。
很多单位现在的实际情况是:好多设备根本不在防护范围内,有些安全设备买了五六年规则从来没更新过,策略配置松得像筛子。因此首先要做“查漏补缺”。把家底盘清楚,该升级的升级,该替换的替换,确保每一层防线——网络、终端、应用真的能用。同时加速推进零信任与纵深防御的一体化融合,在每一道关卡上执行严格的身份审查,有效阻断攻击者的横向移动。这是“带洞防护”的物理基础。
中位能力——用AI代替人盯屏幕,把响应速度提上来。
现在的AI攻击有多快?平均突破时间29分钟,最快的27秒就完事了。而咱们传统靠人看告警、人工研判、层层审批那套流程呢?走完一圈至少45分钟。因此,必须用AI来驱动安全运营。让AI去自动处理海量告警、自动关联还原攻击路径、自动执行封禁动作。把人从告警堆里解放出来,让机器的速度对抗机器的速度。这是把攻防之间100倍的时间差拉平的唯一办法。
高位能力——用AI主动挖自己的漏洞,让情报同步加固。
既然漏洞修不完,那就主动用AI工具持续扫描自己的系统,把弱点提前找出来。找到以后,不一定要马上打补丁,而是把这个情报实时同步给防御体系,变成一条动态的阻断规则。这样一来,攻击者还没动手,咱们的防线已经针对这个新漏洞“打了疫苗”。这就是“带洞”状态下的动态免疫能力。
奇安信在行动:这套体系不是纸上谈兵,即刻可以落地
理念讲得再好,落不了地都是“空中楼阁”。奇安信已经把这套“三位一体”的体系做成了实实在在的产品。
低位补盲区:用鹰图测绘平台把资产和攻击面全摸清楚,不留死角。政企防护必须转向“带洞防护”。
中位提效率:用AISOC智能安全运营平台,让告警不再“狼来了”,把真正的高危威胁精准揪出来,运营效率提升几十倍。
高位做加固:用Qcode Agents代码安全智能体和AI加特林渗透工具,在软件开发和运行阶段持续挖漏洞,挖出来的情报直接喂给防线。
另外还有大模型卫士GPT-Guard,保护AI防御系统,防止黑客用“越狱”或“提示注入”等攻破自身系统。
窗口期:只有6到18个月,不能再等了
《白皮书》最后提醒大家,多家AI实验室预计在未来6到18个月内就会推出和Mythos能力差不多的模型。到那时候,AI攻击工具会更泛滥、更便宜、更不好管,攻防形势将更加严峻。为此,奇安信呼吁:广大政企单位必须立刻行动起来,把“高位、中位、低位”三位一体的内生安全体系建起来,这是在Mythos时代避免全局沦陷的唯一选择。
