如果我们将当前阶段比作AI的“狂野西部”，这一点很明确：在漏洞管理方面，自主AI技术需要人类的“驾驭者”。（尽管人类无需骑马而行。）

AI代理正在通过规模化识别可疑软件缺陷来颠覆漏洞管理。它们显然能够更快地覆盖组织更多的攻击面。

但在验证业务关键漏洞和发现客户环境中的复杂零日漏洞方面，人类仍然具有优势。

自主AI + 人类参与：两全其美

人类和AI代理携手合作，可以为有效、安全的漏洞发现和修复翻开新篇章。防御性AI代理以机器速度运行，并且在输入正确情报的情况下，有很大机会在漏洞被分配CVE之前就识别并标记出来。这里的核心挑战在于防御者接收情报并据此采取行动的速度。

如果放任自流，AI代理也可能追踪虚假线索或提出“CVSS 10”的发现，结果证明只是噪音（或者由于AI训练数据未涵盖的原因在实践中无法利用）。将人类引入循环对于控制那些如果让AI代理在企业环境中不受监督地随意探测可能产生的不可控漏洞数量至关重要。

虽然AI无疑可以帮助自动化“枯燥的工作”，例如快速识别暴露的SSH端口及其与已知CVE关联的旧版本，但这些复杂漏洞，那些需要多次逻辑跳跃或理解未引用功能的漏洞，目前仍然在很大程度上超出了AI代理的能力范围。我们这些仅凭直觉和建立“顿悟”联系能力的人类，对于发现更复杂的缺陷仍然至关重要。

更多警报 ≠ 更安全。真正的目标是精确性，并识别哪些是可利用、可操作且真正具有风险的。

AI驱动的漏洞发现的另一个显著风险是可能出现“低质量报告泛滥”，即大量低质量、无法操作的报告。我们在漏洞赏金计划中已经看到这种情况，AI输出可能会产生幻觉或提取不相关的代码片段。这加剧了一个现有问题：漏洞管理团队已经不堪重负，难以对不断增长的已知CVE进行优先级排序和处理。更多的噪音并无帮助；它淹没了团队需要采取行动以保护其组织的关键“信号”。

AI扩大发现范围，使安全团队覆盖更广

如果AI不能取代人类，反之亦然。这是因为对手已经在利用AI技术增强其攻击行动。他们可以研究组织、分析攻击面，并以指数级速度将合适的攻击与之配对。因此，在野外利用漏洞的时间正在急剧缩短。报告强调，相当大比例的漏洞在公开披露后24小时内就被自动化并武器化。这给已经疲于优先处理和修复已知漏洞的防御团队带来了巨大压力。

简而言之，这意味着我们需要AI，正如AI需要我们一样。而且我们需要接受我们的AI未来：CISO及其安全团队需要拥抱这种自主代理文化的转变。我们不能完全信任计算机在关键功能上做出自主决策。但我们需要信任AI代理扫描企业环境并迅速行动，甚至自主行动，在攻击者使用他们自己的AI工具利用漏洞之前标记某些漏洞。对于防御者来说，这意味着要建立对AI输出的信任，并将其整合到现有工作流程中，同时保持人类监督以进行验证。目标不是完全自动化，而是智能增强，让人类专注于高价值、复杂的任务，其余交给AI。

在Synack，我们花了13年时间完善将人类专业知识与尖端技术相结合的艺术。我们理解在保持精确性和信任的同时扩展漏洞发现的独特挑战。我们的方法核心在于为安全团队提供智能的、自主的AI工具，这些工具旨在与专家分析师携手合作——提供真实的信号，而非噪音。如果这让你感兴趣，请在LinkedIn上联系我，我很乐意分享更多关于如何实现这一点的信息。

Paul Mote 是 Synack 的解决方案架构副总裁。