簡而言之:人工智慧不會完全取代網路安全,但它將承擔大量重複性的安全營運中心 (SOC) 和安全工程工作。如果將其用作降噪和摘要工具(並輔以人工幹預),則可以加快問題分類和優先排序;但如果將其視為預言家,則可能帶來危險的虛假確定性。
重點總結:
範圍:人工智慧取代的是任務和工作流程,而不是職業本身或責任。
減少工作量:利用人工智慧進行警報聚類、簡潔摘要和日誌模式分類。
決策權:保留人類作為風險承受能力、事件指揮和艱難權衡的決策者。
抗濫用性:設計用於快速注入、投毒和對抗性規避嘗試。
治理:在工具中強制執行資料邊界、可稽核性和可質疑的人工幹預。
您可能還想閱讀以下文章:
🔗 生成式人工智慧在網路安全的應用
人工智慧增強檢測、回應和威脅預防的實用方法。.
🔗 網路安全的AI滲透測試工具
頂尖的AI驅動型解決方案,可實現測試自動化並發現漏洞。.
🔗 人工智慧危險嗎?風險與現實
清楚檢視威脅、迷思和負責任的人工智慧安全措施。.
🔗 頂級人工智慧安全工具指南
利用人工智慧保護系統和資料的最佳安全工具。.
「替換」框架是個陷阱😅
當人們說「人工智慧能否取代網路安全」,他們通常指的是以下三種情況之一:
-
取代分析師(無需人工幹預)
-
替換工具(一個人工智慧平台即可完成所有操作)
-
替換結果(減少違規行為,降低風險)
人工智慧最擅長的是取代重複性工作和縮短決策時間。它最弱的是取代問責制、背景資訊和判斷力。安全不僅僅是檢測——它還涉及棘手的權衡取捨、業務限制、政治因素(唉)以及人類行為。.
你知道的,這次資料外洩並非“缺乏警報”,而是“沒有人相信警報很重要”。 🙃
人工智慧已經在(實踐中)「取代」了網路安全工作⚙️
即使組織架構圖看起來仍然一樣,人工智慧也已經開始接手某些類別的工作。.
1)分類和警報聚類
-
將類似的警報合併為一個事件
-
對雜訊訊號進行去重
-
按可能的影響排名
這很重要,因為在急救階段,人們往往會失去求生的意志。如果人工智慧哪怕稍微降低一下噪音,就如同關掉一個已經響了好幾週的火警警報器一樣 🔥🔕
2)日誌分析和異常檢測
-
以機器速度發現可疑模式
-
標記為“與基線相比,這異常”
它並不完美,但卻很有價值。人工智慧就像海灘上的金屬探測器——它會發出很多嗶嗶聲,有時探測到的是瓶蓋,但偶爾也會探測到戒指💍……或者被盜用的管理員令牌。.
3)惡意軟體與網路釣魚分類
-
對附件、URL和網域進行分類
-
檢測相似品牌和欺騙模式
-
自動化沙箱判決摘要
4)漏洞管理優先排序
不是「存在哪些CVE」——我們都知道CVE太多了。人工智慧可以幫助回答這個問題:
-
這些漏洞很可能在這裡被利用。 EPSS (第一)
-
哪些暴露在外
-
哪些地圖指向有價值的資產? CISA KEV 目錄
-
應該優先修復哪些漏洞,同時避免對組織造成嚴重後果? NIST SP 800-40 Rev. 4(企業修補程式管理)
是的,如果時間無限且沒有人休假,人類也可以做到這一點。.
網路安全領域中,好的AI版本需要具備哪些條件🧠
這是人們常常忽略的部分,然後他們就把責任歸咎於“人工智慧”,好像它是一個有感覺的單一產品。.
優秀的網路安全人工智慧通常具備以下特徵:
-
高信噪比紀律
-
它必須減少噪音,而不是用花哨的措辭製造額外的噪音。.
-
-
有助於實踐的可解釋性
-
不是小說,也不是氛圍營造,而是真正的線索:它看到了什麼,為什麼它在意,以及發生了什麼變化。.
-
-
與您的環境緊密整合
-
身分與存取管理 (IAM)、端點遙測、雲端狀態、工單系統、資產清單…這些不起眼的東西。.
-
-
內建人工幹預功能
-
分析師需要修正它、調整它,有時甚至需要忽略它。就像一個從不睡覺但偶爾也會驚慌失措的初級分析師一樣。.
-
-
安全的資料處理
-
明確規定哪些內容需要儲存、訓練或保留。 NIST AI RMF 1.0
-
-
抵禦操縱的能力
-
攻擊者會嘗試提示注入、投毒和欺騙。他們總是這樣做。 OWASP LLM01:提示注入 英國人工智慧網路安全實踐準則
-
坦白說,很多「人工智慧安全」之所以失敗,是因為它們被訓練成聽起來很有自信,而不是準確無誤。自信並不能起到控製作用。 😵💫
人工智慧難以取代的那些部分——而且這比聽起來更重要🧩
令人不安的事實是:網路安全不僅僅是技術問題,它還涉及社會和技術因素。它包含了人、系統和激勵機制。.
人工智慧面臨的挑戰:
1)業務環境與風險偏好
安全決策很少是「這樣做是否不好」的問題,而更像是:
-
是否嚴重到足以停止收入
-
是否值得打破部署流程
-
高階主管團隊是否會接受因此造成的停機時間
人工智慧可以提供幫助,但它無法掌控一切。最終的決定權在某人手中。凌晨兩點接到電話的人也在場。 📞
2)事件指揮與跨團隊協調
在實際事件中,「工作」指的是:
-
讓合適的人進入房間
-
冷靜地根據事實達成共識
-
管理溝通、證據、法律問題、客戶資訊NIST SP 800-61(事件處理指南)
人工智慧當然可以繪製時間軸或匯總日誌。但在壓力下更換領導階層……未免過於樂觀。這就像讓計算器來組織消防演習一樣。.
3)威脅建模和架構
威脅建模一部分是邏輯,一部分是創造力,一部分是偏執(大部分是健康的偏執)。.
-
列舉可能出錯的地方
-
預測攻擊者會做什麼
-
選擇成本最低的控製手段來改變攻擊者的計算方式
人工智慧可以提出模式,但真正的價值在於了解你的系統、你的人員、你的捷徑、你獨特的遺留依賴關係。.
4)人為因素和文化
網路釣魚、憑證重用、影子 IT、草率的存取審查——這些都是披著科技外衣的人為問題🎭
人工智慧可以偵測到這些問題,但它無法解決組織行為背後的原因。
攻擊者也使用人工智慧——所以局勢完全向一方傾斜了😈🤖
任何關於網路安全替代方案的討論都必須包含一個顯而易見的事實:攻擊者不會停滯不前。.
人工智慧幫助攻擊者:
-
寫更具說服力的釣魚郵件(減少語法錯誤,增加上下文) FBI 警告:人工智慧釣魚攻擊 IC3 發布關於生成式人工智慧詐欺/釣魚的公共服務公告
-
更快地產生多態惡意軟體變種OpenAI 威脅情報報告(惡意使用範例)
-
自動化偵察和社會工程歐洲刑警組織「ChatGPT報告」(濫用概述)
-
低成本的規模化嘗試
所以,從長遠來看,防守方採用人工智慧並非可有可無。這更像是……你帶了手電筒,因為對方剛有了夜視鏡。比喻可能不太恰當,但某種程度上也說得通。.
此外,攻擊者也會將目標對準人工智慧系統本身:
-
快速注入安全副駕駛OWASP LLM01:快速注入
-
資料投毒扭曲模型英國人工智慧網路安全實踐準則
-
對抗樣本以規避檢測MITRE ATLAS
-
在某些設定中嘗試提取模型MITRE ATLAS
安全領域一直都是貓捉老鼠的遊戲。人工智慧只是讓貓咪跑得更快,讓老鼠更有創意🐭
真正的答案是:人工智慧取代的是任務,而不是責任 ✅
這就是大多數球隊都會陷入的「尷尬境地」:
-
人工智慧處理規模
-
人類負責處理賭注
-
他們共同兼顧速度和判斷力。
在我自身對各種安全工作流程的測試中,人工智慧的最佳使用方式是:
-
分診助理
-
摘要
-
相關引擎
-
政策助手
-
風險模式的程式碼審查夥伴
人工智慧最糟糕的使用方式是:
-
神諭
-
唯一真理
-
「設定好就不用管了」的防禦系統
-
導致團隊人手不足的一個原因(這一點之後會付出慘痛的代價…)
這就像雇了一隻既能看門又能寫郵件的狗。挺好。但有時候它會對著吸塵器叫,卻錯過了翻牆的人。 🐶🧹
對比表(各隊日常使用的主要選項)📊
下面是一個實用的對比表——並不完美,有點不均衡,就像現實生活一樣。.
| 工具/平台 | 最適合(觀眾) | 價格氛圍 | 它為何有效(以及一些特殊之處) |
|---|---|---|---|
| Microsoft Sentinel Microsoft Learn | 身處微軟生態系統中的安全營運中心團隊 | $$ - $$$ | 強大的雲端原生SIEM模式;連接器眾多,如果未進行最佳化調整,可能會產生大量雜訊… |
| Splunk Splunk 企業安全 | 規模較大的組織,需要大量的日誌記錄和客製化需求 | $$$(坦白說,通常是 $$$$) | 強大的搜尋和儀表板功能;精心策劃時非常出色,但如果無人負責資料清理,則會令人頭痛。 |
| Google 安全運作Google Cloud | 希望進行規模化遙測的團隊 | $$ - $$$ | 適用於大數據規模;和許多其他事物一樣,取決於整合成熟度。 |
| CrowdStrike Falcon CrowdStrike | 端點密集型組織、事件回應團隊 | $$$ | 強大的終端可見性;出色的檢測深度,但仍需要人工幹預來推動回應。 |
| Microsoft Defender for Endpoint Microsoft Learn | M365重型組織 | $$ - $$$ | 與微軟的緊密整合;如果配置錯誤,可能會出現「佇列中積壓700個警報」的情況。 |
| Palo Alto Cortex XSOAR Palo Alto Networks | 以自動化為中心的系統晶片 | $$$ | 操作手冊可以減少工作量;但需要謹慎使用,否則就會造成混亂(沒錯,混亂確實存在)。 |
| Wiz Wiz平台 | 雲端安全團隊 | $$$ | 強大的雲端可見性;有助於快速確定風險優先級,但仍需要相應的治理支援。 |
| Snyk Snyk平台 | 以開發者為先的組織,應用安全 | $$ - $$$ | 對開發者友善的工作流程;成功取決於開發者的採納,而不僅僅是掃描。 |
補充一點:沒有一個工具能單獨「獲勝」。最好的工具就是你的團隊每天都在使用且不會感到厭煩的工具。這不是科學,這是生存之道😅
一個切實可行的營運模式:團隊如何利用人工智慧贏得勝利🤝
如果希望人工智慧切實提升安全性,通常的做法是:
第一步:利用人工智慧減少勞動
-
警報增強摘要
-
票務草擬
-
證據收集清單
-
日誌查詢建議
-
配置差異“發生了哪些變化”
步驟二:利用人工進行驗證與決策
-
確認影響和範圍
-
選擇遏制措施
-
協調跨團隊修復工作
步驟 3:自動化安全事項
良好的自動化目標:
-
以高置信度隔離已知惡意文件
-
已確認洩漏後重置憑證
-
屏蔽明顯惡意域名
-
(謹慎地)執行政策偏差糾正措施
存在風險的自動化目標:
-
自動隔離生產伺服器,卻不採取任何安全措施
-
基於不確定訊號刪除資源
-
封鎖大範圍IP位址,只因為「模型想這麼做」😬
步驟 4:將經驗回饋到控制中
-
事後調整
-
改進的檢測
-
更完善的資產清單(永恆的難題)
-
權限範圍縮小
人工智慧在這裡發揮了很大的作用:總結事後分析,找出偵測漏洞,將混亂轉化為可重複的改進。.
人工智慧驅動的安全措施存在一些隱藏風險(是的,確實存在一些)⚠️
如果你要大量採用人工智慧,就需要預先考慮到可能出現的問題:
-
人為製造的確定性
-
安全團隊需要的是證據,而不是故事。人工智慧卻喜歡說故事。 NIST AI RMF 1.0
-
-
資料外洩
-
提示訊息可能會意外包含敏感細節。仔細查看日誌,你會發現其中隱藏著許多秘密。 OWASP Top 10 針對 LLM 應用程式
-
-
過度依賴
-
人們不再學習基礎知識,因為副駕駛「總是知道」…直到它不知道為止。.
-
-
模型漂移
-
環境在變化,攻擊模式在變化,偵測結果卻悄悄失效。 NIST AI RMF 1.0
-
-
對抗性濫用
-
攻擊者會試圖操縱、迷惑或利用基於人工智慧的工作流程。 《安全人工智慧系統開發指南》(美國國家安全局/網路安全與基礎設施安全局/英國國家網路安全中心)
-
這就像是造了一把非常精巧的鎖,卻把鑰匙放在地墊底下。鎖本身並不是唯一的問題。.
那麼……人工智慧能取代網路安全嗎?一個簡潔明了的答案🧼
人工智慧可以取代網路安全嗎?
它可以取代網路安全領域內許多重複性工作。它可以加速檢測、分類、分析,甚至部分反應過程。但它無法完全取代網路安全這門學科,因為網路安全並非單一任務,它涵蓋治理、架構、人為因素、事件領導和持續適應等諸多面向。
如果你想要最坦誠的構圖(有點直白,抱歉):
-
人工智慧取代了繁瑣的工作
-
人工智慧增強優秀團隊的
-
人工智慧揭露不良流程
-
風險和現實負責。
沒錯,有些角色會改變。入門任務的變化最快。但新的任務也會出現:提示安全工作流程、模型驗證、安全自動化工程、使用人工智慧輔助工具的偵測工程…工作不會消失,只會演變成另一種形式🧬
結語與簡單回顧🧾✨
如果你正在考慮如何在安全領域應用人工智慧,以下是一些實際的建議:
-
利用人工智慧壓縮時間——更快的分類、更快的總結、更快的關聯分析。
-
保留人類作為判斷者-考慮背景、權衡利弊、發揮領導作用、承擔責任。
-
假設攻擊者也在使用人工智慧——設計時要考慮欺騙和操縱。 MITRE ATLAS 安全人工智慧系統開髮指南(NSA/CISA/NCSC-UK)
-
不要購買“魔法”,而是購買能夠切實降低風險和減少勞動的工作流程。.
所以,人工智慧確實可以取代部分工作,而且這種取代往往以不易察覺的方式進行。制勝之道在於利用人工智慧來提升自身能力,而不是取代人工智慧。.
如果你擔心自己的職涯發展,那就專注於人工智慧難以勝任的領域:系統思維、事件管理、架構設計,以及能夠區分「有趣的警報」和「我們即將迎來糟糕的一天」的人。 😄🔐
常問問題
人工智慧能否完全取代網路安全團隊?
人工智慧可以接管網路安全工作的很大一部分,但無法完全取代整個流程。它擅長處理重複性高吞吐量的任務,例如警報聚類、異常檢測和撰寫初步摘要。然而,在關鍵時刻,它無法取代責任感、業務背景和判斷力。實際上,團隊往往會陷入一種「尷尬的中間狀態」:人工智慧提供規模和速度,而人類則繼續承擔重要決策的責任。.
人工智慧在哪些方面取代了日常的SOC工作?
在許多安全營運中心 (SOC) 中,人工智慧已經承擔了諸如警報分類、去重和按潛在影響對警報進行排序等耗時工作。它還可以透過標記偏離基線行為的模式來加速日誌分析。其結果並非憑空減少了事件數量,而是減少了分析人員在處理大量無意義資訊上花費的時間,從而使他們能夠專注於真正重要的調查。.
AI 工具如何協助進行漏洞管理和修補程式優先排序?
人工智慧有助於將漏洞管理的重點從「CVE數量過多」轉移到「我們應該優先修復哪些漏洞」。常見的方法是將漏洞利用可能性訊號(例如EPSS)、已知漏洞清單(例如CISA的KEV目錄)以及環境情境(網路暴露和資產關鍵性)結合起來。如果運用得當,這種方法可以減少猜測,並支援在不影響業務的情況下進行漏洞修復。.
在網路安全領域,好的AI和不好的AI有什麼差別?
優秀的網路安全人工智慧能夠減少噪音,而不是製造出聽起來自信滿滿卻又雜亂無章的資訊。它提供切實可行的解釋——例如,哪些內容發生了變化、觀察到了什麼以及為什麼重要——而不是冗長而模糊的敘述。它還能與核心系統(身分和存取管理、終端安全、雲端、工單系統)集成,並支援人工幹預,以便分析人員在必要時進行修正、調整或忽略。.
人工智慧難以取代網路安全的哪些面向?
人工智慧在社會技術層面上面臨的最大挑戰是:風險承受能力、事件指揮和跨團隊協調。在事件發生過程中,工作往往演變為溝通、證據處理、法律考量以及在不確定性下做出決策——在這些領域,領導力比模式匹配更為重要。人工智慧可以幫助總結日誌或起草時間線,但它無法在壓力下可靠地取代負責人。.
攻擊者如何利用人工智慧?這是否會改變防禦者的工作?
攻擊者利用人工智慧擴大網路釣魚規模,製造更具說服力的社會工程攻擊,並更快地迭代惡意軟體變種。這改變了遊戲規則:隨著時間的推移,防禦者採用人工智慧已不再是可選項。這也帶來了新的風險,因為攻擊者可能透過快速注入、投毒或對抗性規避等手段攻擊人工智慧工作流程——這意味著人工智慧系統也需要安全控制,而不是盲目信任。.
依賴人工智慧進行安全決策的最大風險是什麼?
人工智慧面臨的一大風險在於人為製造的確定性:即使出錯,人工智慧也能表現得信心滿滿,而這種自信並非有效的控製手段。資料外洩是另一個常見的陷阱——安全提示可能會無意中洩露敏感訊息,日誌中也常常包含秘密資料。過度依賴人工智慧也會削弱其基本功能,而模型漂移則會隨著環境和攻擊者行為的變化,悄悄降低偵測能力。.
在網路安全領域,人工智慧的實際應用模式是什麼?
一個實用的模型是這樣的:利用人工智慧減少人工操作,保留人工進行驗證和決策,只自動化那些安全的操作。人工智慧擅長產生數據摘要、建立工單、證據清單以及差異分析。自動化最適合處理高置信度的操作,例如封鎖已知惡意網域或在驗證安全漏洞後重置憑證,並輔以安全措施防止過度操作。.
人工智慧會取代入門網路安全職位嗎?哪些技能會變得更有價值?
入門級任務的變動速度可能最快,因為人工智慧可以承擔重複性的分診、總結和分類工作。但新的任務也會隨之出現,例如建立提示安全的工作流程、驗證模型輸出以及建置安全自動化系統。職業韌性往往來自於人工智慧難以掌握的技能:系統思維、架構設計、事件管理以及將技術訊號轉化為業務決策。.
參考
-
FIRST - EPSS (FIRST) - first.org
-
美國網路安全與基礎設施安全局 (CISA) -已知被利用漏洞目錄- cisa.gov
-
美國國家標準與技術研究院 (NIST) - SP 800-40 Rev. 4(企業修補程式管理) - csrc.nist.gov
-
美國國家標準與技術研究院 (NIST) - AI RMF 1.0 - nvlpubs.nist.gov
-
OWASP - LLM01:快速注入- genai.owasp.org
-
英國政府-人工智慧網路安全行為準則- gov.uk
-
美國國家標準與技術研究院 (NIST) - SP 800-61(事故處理指南) - csrc.nist.gov
-
美國聯邦調查局(FBI) —— FBI警告稱,利用人工智慧的網路犯罪分子構成的威脅日益增加——fbi.gov
-
美國聯邦調查局網路犯罪投訴中心 (IC3) - IC3 關於生成式人工智慧詐欺/網路釣魚的公共服務公告- ic3.gov
-
OpenAI - OpenAI威脅情報報告(惡意使用範例) - openai.com
-
歐洲刑警組織-歐洲刑警組織「ChatGPT報告」(濫用概述) - europol.europa.eu
-
MITRE - MITRE 圖譜- mitre.org
-
OWASP - OWASP 法學碩士申請十大熱門問題- owasp.org
-
美國國家安全局 (NSA) -人工智慧系統開發安全指南 (NSA/CISA/NCSC-UK 及合作夥伴) - nsa.gov
-
Microsoft Learn - Microsoft Sentinel 概述- learn.microsoft.com
-
Splunk - Splunk 企業安全- splunk.com
-
Google Cloud - Google 安全運作- cloud.google.com
-
CrowdStrike - CrowdStrike Falcon平台- crowdstrike.com
-
Microsoft Learn - Microsoft Defender for Endpoint - learn.microsoft.com
-
Palo Alto Networks - Cortex XSOAR - paloaltonetworks.com
-
Wiz - Wiz平台- wiz.io
-
Snyk - Snyk 平台- snyk.io