漏洞管理需要自主AI扩展规模与人类智慧把关

如果我们身处AI的"狂野西部"，这一点很明确：在漏洞管理方面，自主AI技术需要人类"驯服者"（虽然人类无需骑马而行）。

AI代理正在通过规模化识别可疑软件缺陷来彻底改变漏洞管理。它们显然能够更快地覆盖组织更多的攻击面。

但在验证业务关键漏洞和发现客户环境中的复杂零日漏洞方面，人类仍然具有优势。

自主AI + 人类参与：两全其美

人类和AI代理共同合作，可以为有效、安全的漏洞发现和修复翻开新篇章。防御性AI代理以机器速度运行，当输入正确情报时，有很大机会在漏洞被分配CVE之前就识别并标记出来。这里的核心挑战是防御者吸收情报并采取行动的速度。

如果放任自流，AI代理也可能追逐错误线索或产生"CVSS 10"的发现，结果却是噪音（或者由于AI训练数据中未包含的原因而在实践中无法利用）。将人类纳入循环对于控制所谓漏洞的不堪重负的堆积至关重要——如果让AI代理在企业环境中自由探测而没有监督，这种情况就可能出现。

虽然AI无疑可以帮助自动化"无聊的工作"，比如快速识别暴露的SSH端口及其与已知CVE关联的旧版本，但这些复杂漏洞——那些需要多重逻辑跳跃或理解未引用函数的漏洞——在很大程度上仍然超出了当前AI代理的能力范围。我们这些凡人，凭借我们的直觉和建立"恍然大悟"联系的能力，对于发现更复杂的缺陷仍然至关重要。

更多警报≠更多安全性。真正的目标是精确性，识别什么是可利用的、可操作的和真正有风险的。

AI驱动的漏洞发现的另一个显著风险是可能出现"草率"——大量低质量、不可操作的报告。我们在漏洞赏金计划中已经看到这种情况，AI输出可能会产生幻觉或提取不相关的片段。这放大了现有问题：漏洞管理团队已经不堪重负，努力优先处理并解决不断增长的已知CVE列表。更多噪音没有帮助；它埋没了团队需要采取行动以保护其组织的关键"信号"。

AI扩展发现范围，让安全团队覆盖更多领域

如果AI不能取代人类，反之亦然。这是因为对手已经在利用AI技术增强他们的攻击行动。他们可以研究组织、分析攻击面，并以指数级速度将适当的攻击与之配对。因此，野外利用漏洞的时间正在急剧缩短。报告强调，相当大比例的漏洞在公开披露后24小时内被自动化和武器化。这给已经努力优先处理和修复已知漏洞的防御团队带来了巨大压力。

简而言之，这意味着我们需要AI，就像AI需要我们一样。我们需要与我们的AI未来和解：CISO及其安全团队需要拥抱自主文化的转变。我们不能完全信任计算机在关键功能上做出自主决策。但我们需要信任AI代理扫描企业环境并快速行动，甚至自主行动，在攻击者利用自己的AI工具利用某些漏洞之前标记它们。对于防御者来说，这意味着建立对AI输出的信任，并将其集成到现有工作流程中，同时保持人类监督以进行验证。目标不是完全自动化，而是智能增强，让人类专注于高价值、复杂的任务，其余交给AI。

在Synack，我们花了13年时间完善将人类专业知识与尖端技术相结合的艺术。我们理解在保持精确性和信任的同时扩展漏洞发现的独特挑战。我们的方法核心是为安全团队提供智能、自主的AI工具，旨在与专家分析师携手合作——提供真实的信号，而非噪音。如果这让你感兴趣，请在LinkedIn上联系我，我很乐意分享更多关于如何实现这一点的信息。

Paul Mote是Synack的解决方案架构副总裁。