问题——高价值漏洞挖掘难、周期长、覆盖不足仍是行业痛点。随着数字化业务快速扩张,应用系统规模持续增大、代码迭代更频繁,漏洞类型也从传统的输入校验缺陷逐步转向更隐蔽的业务逻辑问题。这类漏洞往往与业务流程、权限链路和数据流转方式紧密绑定,单靠人工审计不仅对经验要求高,也难以有限时间内做到广覆盖、深验证,因而在攻防对抗中更容易成为被利用的薄弱点。 原因——攻防复杂度上升与代码生产方式变化叠加,促使行业寻找新手段。近年来,软件供应链更复杂,组件复用、微服务架构和多云部署带来更长的依赖链和更大的攻击面;同时,自动化编程工具提升了代码产出速度,但安全审计与治理能力未必同步增强,“产能快、审计慢”的矛盾更加突出。基于此,借助工具化、智能化手段缩短“发现—验证—复现—修复”的闭环时间,成为提升安全治理效率的关键方向。 影响——实战竞赛检验了智能化漏洞挖掘的效果与边界。作为面向高价值漏洞研究的专业赛道,“漏洞防护赛”要求参赛团队在规定时间内对指定目标环境完成漏洞发现、验证并进行演示,强调结果可复现、链路可解释、危害可量化。本次赛事中,安恒信息卫兵实验室与恒脑团队获得第三名,引发业内对智能化手段参与实战的关注。参赛智能体在漏洞挖掘全流程中显示出较强的自动化能力:一上,能较短时间内完成线索发现与关联分析,压缩传统挖掘周期;另一上,能从多类缺陷的组合与叠加关系中识别高危风险,形成更完整的检测视角。与依赖对业务功能“熟悉到细节”的人工审计相比,智能体定位复杂业务逻辑风险场景、发现同类问题的规模化线索上更具优势。 对策——以人机协同重塑安全生产力,推动能力沉淀与工程化落地。安恒信息涉及的负责人表示,传统人工挖掘更像依靠经验逐点突破,而智能化挖掘更强调快速锁定业务类型、批量提取同类隐患线索。业内普遍认为,引入智能化能力并非替代安全专家,而是让分工更清晰:安全专家应聚焦高难度研判、关键链路验证与新型攻击手法研究,同时承担“训练与校准”职责,将实战经验、漏洞知识和防护策略沉淀为可复用能力,提升智能体在特定行业、系统与业务中的适配度。此外,应完善评测标准与治理流程,将智能化发现结果纳入企业漏洞管理体系,形成从发现、分级、修复到复测的闭环,避免“只报不治、只查不改”。 前景——以智能化对抗智能化,夯实面向新型代码生态的安全底座。随着自动化编程与生成式代码更深进入研发流程,代码产出与迭代将深入加快,潜在缺陷也可能以更分散、更隐蔽的方式出现。未来,用智能化手段应对自动化开发带来的新风险将成为重要趋势:一是通过规模化扫描与语义级分析提升覆盖面,二是通过关联推断与组合漏洞识别增强“看见风险链”的能力,三是通过持续学习与迭代提升对新框架、新业务形态的适应速度。可以预见,在竞赛实战验证与产业应用牵引下,智能化安全能力将加速走向工程化部署,并在关键行业的攻防演练、漏洞治理与安全运营中发挥更大作用。
网络空间安全的竞争,本质上是对复杂系统风险的认知与治理能力之争。智能体在高强度赛事中取得成绩提醒行业:只有把先进技术与工程实践同步推进,将制度规范与人才培养一体化落地,才能在快速变化的攻防对抗中持续提升防护韧性,构建更适配数字时代的安全体系。