发帖
雷达卡
2025年GEEKCON安全极客大赛上,一场令人震惊的攻防演示真实上演:一台从未接入互联网的机器人,在仅凭一句语音指令的情况下被远程控制,并转而攻击其他同类设备。这一突破性实验揭示了人工智能时代下物理世界面临的新威胁。
在比赛中,参赛选手成功利用某款人形机器人内置大模型Agent中的逻辑缺陷,构造特定语音输入,实现了对目标机器人的任意代码执行权限获取。通过自然语言对话触发未知漏洞,完成远程攻破并取得控制权,展示了AI驱动攻击的强大潜力。
被攻陷的联网机器人随后以近场通讯方式将攻击指令传递给未接入网络的同型号设备,借助这些“离线”机器人执行恶意操作,形成“隔山打牛”的连锁反应。这不仅暴露了个别产品的安全隐患,更预示着未来机器人集群可能面临的系统性风险。
[此处为图片1]
面对日益复杂的攻击手段,传统被动、碎片化的防御体系已显乏力。派拓网络大中华区总裁陈文俊指出:“2021年一次成功攻击平均需要9天,到2023年缩短至2天,而如今最快仅需25分钟。”这一数据折射出防御节奏全面失速的现实。
技术飞速演进的同时,安全建设却严重滞后,风险正从虚拟空间向物理世界蔓延。在年底多个科技行业会议上,网络安全与数据安全成为核心议题。对于安全厂商而言,如何让用户理解“安全不只是合规”,已成为刻不容缓的任务。
现场评委、GEEKCON组委会谭晓生强调:“安全的具身智能,是其在生产与生活中普及的前提条件。”他进一步指出,新技术创业公司必须从软硬件设计初期就融入安全机制。以具身智能为例,传感器、通信协议以及大模型提示词防恶意注入等环节都需重点防护。
尽管业界普遍认同“安全应内生于设计”,但现实情况却不容乐观。浙江大学求是特聘教授杜跃进观察到,企业在证明自身“数据安全够好”时,大多停留在概念堆砌层面,少数提及标准或法律依据,极个别能提供认证材料。“我们需要建立良好的协作机制,开展定制化演练。在网络安全领域,经验至关重要。”
当攻击者已能操控完全离线的物理设备,若安全仍停留在提交材料、应付检查的阶段,无异于在数字战场上“裸奔”。
过去,企业安全建设常采取“头痛医头”的策略:发现漏洞就采购一个工具,遭遇新威胁再引入一个平台,导致防御体系高度碎片化。而在AI驱动的新型攻击面前,这种拼凑式架构几乎毫无抵抗力。攻击者不再依赖暴力破解,而是使用生成式AI模拟合法行为,精准绕过规则引擎,甚至能自动学习防御策略,动态生成变种请求持续渗透。
一位第三方测评机构人士坦言:“许多安全订单本质上是为了满足合规要求。”当前国内安全行业的现状是,企业愿意为防火墙、服务器等硬件投入资金,却不愿为持续运营和应急响应付费。结果往往是“重采购、轻运维”,一旦发生安全事故,损失远超前期投入。
更具讽刺意味的是,防御体系越复杂,管理盲区反而越多。安全团队深陷告警洪流之中,真正的高危事件常常被淹没,难以及时响应。
破局的关键,在于用AI重构整个防御体系。深信服上海区数据安全产品总监王喆分享了一组对比数据:人工打标每日仅能处理约500个数据字段;而基于大模型的系统,仅依靠两张4090D显卡,日处理量即可提升至2万个字段。在风险监测方面,AI可将原始4000条告警信息降噪90%,压缩为400条高价值、可行动的事件,使运维团队实现从“无法应对”到“真正可控”的本质跨越。
[此处为图片2]
这一转变也推动了新一代安全架构的诞生。派拓网络推出的Cortex AgentiX,试图通过“代理型AI”打通应用安全、云安全与运行时保护模块,实现自主判断与联动响应。其大中华区售前总经理董春涛解释称:“‘X’不仅代表扩展性,更象征在未知威胁下的自适应能力。”
Fortinet则提出更为前瞻的愿景——构建“自学习、自修复、自进化”的安全神经中枢。中国区总经理李宏凯强调,唯有将零信任架构、融合安全理念与可解释AI三者结合,才能“把AI的确定性价值留给业务,把不确定性风险关进笼子”。
然而挑战依然严峻:攻击者正在利用相同的AI技术升级APT攻击与供应链攻击。如果防御方仅将AI视为“更快的检测器”,而非“意图理解引擎”,仍将处于被动地位。
即便AI显著提升了防御效率,风险也不可能归零。合规只是安全防范的第一步,更关键的问题在于:谁来承担最终的损失?
蚂蚁集团副总裁、蚂蚁密算董事长、GEEKCON组委会成员韦韬认为,安全不应止步于合规,而应以实际效果作为衡量标准。他主张大力推广网络安全保险,依据安全防护的实际成效进行理赔。这不仅能客观反映各安全厂商的真实能力,也有助于缓解企业用户的焦虑情绪。
据业内人士透露,目前主流做法仍是将损失赔偿责任写入供应商合同条款,网络安全保险尚处于初步探索阶段。
2023年7月,工业和信息化部与国家金融监督管理总局联合发布《关于促进网络安全保险发展的指导意见》,标志着该领域开始进入政策引导期。未来,随着评估体系完善与市场机制成熟,按效果定价的安全服务模式或将重塑整个行业生态。
2022年,国家相关部门发布《关于促进网络安全保险规范健康发展的意见》,明确指出需加快推动网络安全产业与金融服务的融合创新,并将网络安全保险视为提升企业风险应对能力的重要手段。同年12月,有关部门印发通知,正式启动网络安全保险服务的第一批试点工作。
今年6月,首批试点任务已顺利收官。在试点过程中,网络安全保险累计为企业签发保单超过1500单,总保费规模突破1.5亿元,提供总保障金额接近115亿元。进入11月后,第二批次的试点工作也已全面启动,进一步扩大覆盖范围和服务深度。
当保单的定价依据转向企业的实际安全防护水平,当理赔结果由真实攻防成效决定,市场的选择将依赖于科学的精算模型。更为关键的是,保险的作用并非简单兜底,而是一种倒逼机制。它促使企业在部署AI驱动的防御系统时,同步构建具备可验证性、可审计性和可持续性的安全管理运营体系。
这正是对“以新安全格局保障新发展格局”理念的切实落实:安全保障不再流于形式审查或材料应付,而是以真实能力为核心;企业发展也不再以牺牲安全性为代价,而是以系统韧性作为支撑基础。
[此处为图片1]
京公网安备 11010802022788号
