漏洞管理需要智能AI扩展规模，人类智慧确保精准判断

如果AI正处于“狂野西部”时代，这一点很明确：在漏洞管理方面，智能AI技术需要人类“驯兽师”。（尽管人类无需骑马。）

AI代理正在颠覆漏洞管理，通过规模化识别可疑软件缺陷。它们显然可以更快地覆盖组织的更多攻击面。

但人类在验证业务关键漏洞和发现客户环境中的复杂零日漏洞方面仍然具有优势。

智能AI + 人类参与循环：两全其美

人类和AI代理共同可以为有效、安全的漏洞发现和修复翻开新的一页。防御性AI代理以机器速度运行，并且在输入正确情报的情况下，有很大机会在漏洞被分配CVE之前识别并标记它。这里的核心挑战是防御者吸收情报并采取行动的速度。

如果放任自流，代理也可能追逐红鲱鱼或产生“CVSS 10”发现，结果却是噪音（或由于AI训练数据未涵盖的原因而在实践中无法利用）。将人类引入循环对于控制不可持续的大量所谓漏洞至关重要，如果AI代理在企业环境中不受监督地自由探测，这些漏洞可能会出现。

虽然AI无疑可以帮助自动化“无聊的东西”，比如快速识别暴露的SSH端口及其与已知CVE关联的旧版本，但这些复杂漏洞，那些需要多个逻辑跳跃或理解未引用函数的漏洞，仍然很大程度上超出了当前AI代理的能力。我们这些仅凭直觉和“啊哈！”连接能力的人类，对于发现更复杂的缺陷仍然至关重要。

更多警报 ≠ 更多安全。真正的目标是精确性，识别哪些是可利用、可操作且真正有风险的。

AI驱动的漏洞发现的另一个重大风险是“草率”的潜在可能，即大量低质量、不可操作的报告。我们在漏洞赏金计划中已经看到这一点，AI输出可能会产生幻觉或提取无关的片段。这放大了现有问题：漏洞管理团队已经不堪重负，努力优先处理并解决不断增长的已知CVE堆栈。更多噪音无济于事；它埋没了团队需要采取行动以保护其组织的关键“信号”。

AI扩展发现，使安全团队覆盖更多领域

如果AI不能取代人类，反之亦然。这是因为对手已经在利用AI技术增强其攻击操作。他们可以研究组织、分析攻击面，并以指数级速度匹配合适的攻击。因此，野外利用漏洞的时间正在急剧缩短。报告强调，相当比例的漏洞在公开披露后24小时内被自动化和武器化。这给已经努力优先处理和修复已知漏洞的防御团队带来了巨大压力。

简而言之，这意味着我们需要AI，正如AI需要我们一样。我们需要与AI未来和平共处：CISO及其安全团队需要接受代理文化转变。我们不能完全信任计算机在关键功能上做出自主决策。但我们需要信任AI代理扫描企业环境并快速行动，甚至自主行动，在攻击者利用自己的AI工具利用漏洞之前标记某些漏洞。对于防御者来说，这意味着建立对AI输出的信任，并将其集成到现有工作流程中，同时保持人类监督以进行验证。目标不是完全自动化，而是智能增强，让人类专注于高价值、复杂的任务，其余交给AI。

在Synack，我们花了13年时间完善将人类专业知识与尖端技术相结合的艺术。我们理解在保持精确性和信任的同时扩展漏洞发现的独特挑战。我们的方法侧重于为安全团队提供智能、代理AI工具，旨在与专家分析师携手合作——提供真实信号，而非噪音。如果这让你感兴趣，请在LinkedIn上联系我，我很乐意分享更多关于如何实现的信息。

Paul Mote是Synack的解决方案架构副总裁。