如果我们将当前AI领域比作"狂野西部"，那么在漏洞管理方面这一点十分明确：智能体AI技术需要人类"驯兽师"的引导（尽管人类无需骑马执鞭）。

智能体AI正在通过规模化识别潜在软件缺陷颠覆漏洞管理。它们显然能够以更快的速度覆盖企业更多的攻击面。但在验证业务关键漏洞和发现客户环境中的复杂零日漏洞方面，人类仍然占据优势。

智能体AI+人类在环：双赢组合

人类与AI智能体的结合能够为高效、安全的漏洞发现与修复开启新篇章。防御性AI智能体以机器速度运行，在获得正确情报输入时，甚至有机会在漏洞被分配CVE编号前就完成识别和标记。核心挑战在于防御者接收情报并采取行动的速度。

如果放任自流，AI智能体也可能追踪错误线索或产生大量"CVSS 10级"发现，这些结果最终可能只是噪音（或因AI训练数据未涵盖的原因而实际不可利用）。如果将AI智能体置于企业环境中不加监管地自由探测，可能产生难以承受的所谓"漏洞"堆积，因此引入人类监督至关重要。

虽然AI无疑可以帮助自动化"枯燥工作"，比如快速识别暴露的SSH端口及其与已知CVE关联的旧版本，但那些需要多重逻辑跳跃或理解未引用功能的复杂漏洞，目前仍然很大程度上超出AI智能体的能力范围。我们人类凭借直觉和"灵光一现"的联想能力，在发现更复杂漏洞方面仍然不可或缺。

更多警报≠更安全。真正的目标是精准识别可被利用、可操作且真正存在风险的漏洞。

AI驱动的漏洞发现的另一个重大风险是可能产生"垃圾信息洪流"——大量低质量、不可操作的报告。我们在漏洞赏金计划中已经看到这种情况，AI输出可能产生幻觉或提取无关代码片段。这加剧了一个现存问题：漏洞管理团队已经不堪重负，难以对不断增长的已知CVE进行优先级排序和处理。更多噪音无济于事，反而会淹没团队需要采取行动保护组织的关键"信号"。

AI扩展发现范围，助力安全团队覆盖更广攻击面

如果AI无法取代人类，反之亦然。这是因为攻击者已经在利用AI技术增强其攻击行动。他们能够以指数级速度研究目标组织、分析攻击面并匹配合适的攻击方式。因此，野外漏洞利用时间正在急剧缩短。报告强调，相当比例的漏洞在公开披露后24小时内就被自动化武器化。这给本就疲于优先处理和修复已知漏洞的防御团队带来了巨大压力。

简而言之，这意味着我们需要AI，正如AI需要我们一样。我们需要接受AI的未来：CISO及其安全团队需要拥抱智能体文化转变。我们不能完全信任计算机在关键功能上做出自主决策，但我们需要信任AI智能体扫描企业环境并快速（甚至是自主地）标记某些漏洞，以防攻击者使用自己的AI工具加以利用。对防御者而言，这意味着要建立对AI输出的信任，将其整合到现有工作流程中，同时保持人类监督进行验证。目标不是完全自动化，而是智能增强，让人类专注于高价值、复杂任务，将其他工作交给AI。

在Synack，我们花费13年时间完善了将人类专业知识与尖端技术相结合的艺术。我们理解在保持精准度和信任的同时扩展漏洞发现规模的独特挑战。我们的方法核心是为安全团队配备智能的AI工具，这些工具设计用于与专家分析师携手合作——提供真实信号，而非噪音。如果您对此感兴趣，请在LinkedIn上联系我，我很乐意分享更多实现细节。

Paul Mote是Synack公司的解决方案架构副总裁。