你有没有发现最近这半年软件漏洞曝得越来越快了前阵子 Anthropic 的 Claude Mythos 一下子甩出了几千个 0day 漏洞震惊了整个安全圈紧接着我们腾讯朱雀实验室的蓝军 Bot也一口气在 OpenCLAW、Linux 内核这些核心组件里挖出了 33 个全新的 0day其中 17 个还是高危漏洞。很多人说这是不是软件越来越差了其实不是。这是 AI 来了之后安全攻防的整个游戏规则都被改写了。1. 变的不只是漏洞数量而是整个攻防的节奏过去我们聊安全默认的逻辑是漏洞发现能力越强生态就越安全。但现在这个逻辑已经行不通了。以前挖漏洞就像老师傅手工打磨零件一个老师傅要花几个月甚至几年才能慢慢摸透一个系统找出里面的漏洞黑客要利用漏洞也得自己一点点写代码、测试成本高速度慢。但现在这门手艺被 AI 批量复制了。AI 把整个攻防的时间链全部压缩了以前人工写代码速度慢漏洞多现在 AI 辅助写代码速度快了 3-4 倍但是漏洞多了 10 倍架构缺陷甚至涨了 153%以前少数专家才能审计漏洞一个项目要审好几个月现在 AI 拉低了门槛随便一个人都能让 AI 帮他扫一遍系统找出所有漏洞以前黑客要自己一个个试漏洞写利用代码要花几个星期现在 AI 能全自动完成从发现漏洞到攻击几分钟就能搞定以前漏洞发现了你有几个月的时间慢慢修以前黑客要一个个试漏洞写利用代码要花几个星期举个生活化的例子 以前你家小区保安半个月巡检一次小偷要撬锁得花好几天还不一定能成功你有足够的时间修门锁。 现在呢小偷有了 AI几分钟就能把整个小区的所有门锁都试一遍哪个能撬开直接就进去了。你要是还按以前的节奏半个月巡检一次等你发现的时候家早就被偷空了。这就是我们现在面对的现实整个攻防的节奏都快了不止一倍。2. 33 个 0day 漏洞背后我们用 AI 蓝军提前帮业务排雷既然 AI 把攻击的速度拉得这么快那我们防守方该怎么办答案很简单我们也要用 AI把防守的速度拉得比攻击更快。这就是我们做蓝军 Bot 的原因用和黑客一样的 AI 能力提前帮我们自己的业务把所有的雷都排了在黑客利用这些漏洞之前先把它们补上。这次我们的蓝军 Bot一口气就挖出了 33 个 0day 漏洞覆盖了 AI 框架、Linux 内核这些最核心的基础设施其中 17 个都是高危漏洞所有漏洞我们都第一时间通知了厂商帮业务打上了补丁。有三个例子特别能说明问题nullOpenClaw 是现在很多企业都在用的开源 AI Agent 框架就像你家请的 AI 保姆帮你处理各种日常的工作。但我们发现了一个高危漏洞这个保姆居然能偷偷绕过安全策略拿到你家的所有钥匙 —— 比如云服务的密钥、Git 仓库的密码、模型的 API Key。这些东西要是被黑客拿到了那他就能直接进到你的内网把你的所有数据都偷走。还好我们提前发现了帮上游厂商补上了这个漏洞不然我们自己的业务差点就踩了这颗雷。Langflow 的漏洞智能助手居然给黑客开了门Langflow 是另一个很火的 Agent 框架就像你家的智能助手帮你处理各种任务。但我们发现这个助手居然会被坏人忽悠只要坏人跟它说两句话它就会直接在你的服务器上执行任意代码相当于直接给坏人开了后门让他进来为所欲为。这其实是现在所有 Agent 框架都有的新风险模型输出、工具调用、执行环境之间的边界被 AI 打破了。我们提前把这个风险找出来就能帮所有用这个框架的业务提前做好防护。nullLinux 内核就不用多说了这是我们所有系统的底层围墙全世界的安全专家已经检查了它几十年了millions of times of fuzzing都没找出什么问题。但我们的蓝军 Bot还是在里面找出了高危漏洞比如蓝牙模块的漏洞能让攻击者直接提权进入内核还有其他内核模块的漏洞能让 Docker 容器直接突破隔离控制整个宿主机。就像你家的围墙本来你以为坚不可摧结果我们发现了个小洞小偷能从这里钻进来。还好我们提前发现了帮 TencentOS 的团队提前打上了补丁。3. 安全攻防的下半场到底拼的是什么这次的 33 个漏洞还有 Claude Mythos 的几千个漏洞都在告诉我们一件事安全攻防的下半场已经来了。那下半场到底拼的是什么null以前一个漏洞从被引入到被发现可能要几年你有足够的时间慢慢修。 现在呢Claude Mythos 一下子挖出了藏了 10-27 年的漏洞CrowdStrike 的报告说漏洞从被发现到被利用窗口期已经从几个月缩短到了几分钟。你要是还按以前的节奏一个月做一次安全巡检那早就跟不上了。第二找洞已经不稀缺了稀缺的是你能不能更早打出来AI 把找漏洞的门槛拉得太低了以后谁都能扫出一堆漏洞“我又发现了一个漏洞”这句话会越来越不值钱。现在拼的是谁能比黑客更早地把最关键的漏洞找出来补上。 就像 Anthropic 这次把 Claude Mythos 的能力先给了 45 家核心大厂让他们在黑客拿到这个能力之前先把自己的漏洞补上。我们的蓝军 Bot 也是一样先帮我们自己的业务把所有的雷都排了这样黑客就算有了同样的 AI也没东西可偷了。第三AI 拉低了门槛但专家的判断力才是最稀缺的很多人说AI 来了安全专家是不是就没用了 根本不是。同一个 AI 模型不同的人用效果差了十万八千里。 Anthropic 自己就说裸跑的 Opus 4.6写漏洞利用代码的成功率几乎是 0但是有专家指导之后就能成功利用 FreeBSD 的远程漏洞。 我们的蓝军 Bot 也是一样从 1.0 到 4.0能力的提升不只是因为模型变强了更是因为我们的专家知道该让 AI 去扫哪里该怎么把扫出来的结果验证成真正的漏洞该怎么把这些结果交给业务方让他们能快速修复。AI 能扫出 1000 个看起来像漏洞的东西但是专家能告诉你哪 10 个是真的哪一个是最危险的该先补哪一个。 这才是真正的差距。其实这 33 个漏洞只是一个开始。AI 时代安全的玩法早就不是以前的样子了。 我们不用怕 AI 把黑客的能力拉满因为我们可以用同样的 AI把我们防守的能力拉得更快。当 AI 把找漏洞的门槛拉低真正拉开差距的是你能不能更早地发现风险能不能更准地处理风险能不能让你的业务在 AI 时代跑得更快也更安全。就像我们说的安全攻防的下半场拼的不是你能不能找到漏洞而是你能不能先于攻击者把所有的风险都挡在门外。 最后想问问你 你有没有遇到过软件突然曝漏洞吓得你赶紧更新的经历你觉得 AI 时代我们普通人该怎么保护自己的信息安全评论区聊聊吧