如果我们将当前比作AI的"狂野西部"，这一点很明确：在漏洞管理领域，智能AI技术需要人类"驯兽师"的引导。（尽管人类无需骑马执鞭）

AI智能体正在颠覆漏洞管理领域，通过规模化识别可疑软件缺陷。它们显然能够更快地覆盖企业更多的攻击面。

但在验证业务关键漏洞和发现客户环境中的复杂零日漏洞方面，人类仍然占据优势。

智能AI+人类介入：两全其美的解决方案

人类与AI智能体携手合作，能够为高效、安全的漏洞发现与修复开启新篇章。防御性AI智能体以机器速度运行，在获得正确情报输入时，甚至有机会在漏洞被分配CVE编号前就识别并标记出来。这里的核心挑战在于防御者接收情报并采取行动的速度。

如果放任自流，AI智能体也可能追踪错误线索，或产生实际上只是噪音（或因AI训练数据未涵盖的原因而无法利用）的"CVSS 10级"发现。将人类纳入循环对于控制所谓的漏洞堆积至关重要——如果让AI智能体在企业环境中不受监督地自由探测，这种堆积可能会变得难以承受。

虽然AI无疑可以帮助自动化"枯燥的工作"，比如快速识别与已知CVE关联的旧版本暴露SSH端口，但那些需要多重逻辑跳跃或理解未引用函数的复杂漏洞，目前仍然很大程度上超出了AI智能体的能力范围。我们这些普通人凭借直觉和建立"灵光一现"联系的能力，在发现更复杂缺陷方面仍然不可或缺。

更多警报≠更安全。真正的目标是精准识别可被利用、可操作且真正存在风险的内容。

AI驱动的漏洞发现的另一个重大风险是可能出现"垃圾报告"泛滥——大量低质量、不可操作的报告。我们在漏洞赏金计划中已经看到这种情况，AI输出可能会产生幻觉或提取不相关的代码片段。这加剧了一个现有问题：漏洞管理团队已经不堪重负，努力在日益增长的已知CVE堆栈中进行优先级排序和处理。更多噪音无济于事，反而会淹没团队需要采取行动保护组织的关键"信号"。

AI扩展发现范围，让安全团队覆盖更广领域

如果AI不能取代人类，反之亦然。这是因为攻击者已经在利用AI技术增强其攻击行动。他们可以研究组织、分析攻击面，并以指数级速度匹配合适的攻击方式。因此，野外漏洞利用时间正在急剧缩短。报告强调，相当大比例的漏洞在公开披露后24小时内就被自动化并武器化。这给已经疲于优先处理和修复已知漏洞的防御团队带来了巨大压力。

简而言之，这意味着我们需要AI，正如AI需要我们一样。我们需要接受AI的未来：CISO及其安全团队需要拥抱智能体文化的转变。我们不能完全信任计算机在关键功能上做出自主决策。但我们需要信任AI智能体扫描企业环境并快速（甚至是自主地）行动，在攻击者利用自己的AI工具利用漏洞之前标记某些漏洞。对于防御者而言，这意味着要建立对AI输出的信任，将其整合到现有工作流程中，同时保持人类监督进行验证。目标不是完全自动化，而是智能增强，让人类专注于高价值、复杂任务，将其他工作交给AI。

在Synack，我们花了13年时间完善将人类专业知识与尖端技术相结合的艺术。我们理解在保持精准性和可信度的同时扩展漏洞发现规模的独特挑战。我们的方法核心是为安全团队配备智能的AI工具，这些工具设计用于与专家分析师携手合作——提供真实的信号，而非噪音。如果您对此感兴趣，请在LinkedIn上联系我，我很乐意分享更多关于如何实现这一目标的信息。

Paul Mote是Synack的解决方案架构副总裁。