过去六个月云入侵事件激增136%。朝鲜黑客组织利用AI生成身份渗透了320家企业。Scattered Spider团伙如今能在24小时内完成勒索软件部署。但在2025黑帽大会上,安全行业展示了终极解决方案:能交付可量化成果而非空头支票的自主AI。
CrowdStrike近期识别出28名伪装成远程IT工作者的朝鲜特工,这起波及320家企业的行动印证了自主AI正从概念演变为切实的威胁检测手段。
尽管2025黑帽大会上几乎所有厂商都公布了性能指标(来自测试项目或正式部署的自主AI),但最突出的主题是实战准备度优先于炒作或理论主张。
与会CISO向VentureBeat透露,在现有人力下可处理更多安全警报,调查时间显著缩短。具体成效取决于实施成熟度与用例复杂度。值得关注的是行业已从愿景路线图转向实际成果交付。
安全团队开始实现董事会关注的实质性效率提升:缩短平均调查时间(MTTI)、提高威胁检测率、优化资源利用率。2025黑帽大会标志着讨论焦点从AI潜力转向其对安防运营的可量化影响。
自主AI军备竞赛:从承诺到落地
自主AI成为2025黑帽大会核心议题,多场研讨会聚焦攻击者如何攻陷AI代理。VentureBeat追踪到超100项自主AI应用/平台/服务发布。厂商开始交付具体用例与成果,这相较往年空谈是一大进步。
CrowdStrike反制行动负责人Adam Meyers指出:"自主AI正成为SOC团队构建自动化的基础平台,无论是通过MCP服务器接入API。越来越多组织正用其对接Falcon安全系统。"
面对攻击者24小时内完成勒索的闪电战速度,Meyers强调:"必须保持人类威胁猎手在闭环中,当敌手现身时能立即展开近身对抗。"
微软安全推出Security Copilot重大升级,可跨Defender/Sentinel/第三方工具自主关联威胁。Palo Alto Networks展示Cortex XSOAR新能力:在预设边界内自主分类警报、调查并执行修复。
思科发布大会最重磅产品Foundation-sec-8B-Instruct——首个专为网络安全打造的80亿参数对话模型。该开源模型在单GPU上运行时,安全任务表现优于GPT-4o-mini等通用大模型。
SentinelOne另辟蹊径,其Purple AI能基于行为模式预测攻击者行动并主动调整防御。
CrowdStrike威胁情报显示FAMOUS CHOLLIMA等组织将生成式AI武器化,从伪造身份到同时管理多个雇佣岗位。来源:CrowdStrike 2025威胁狩猎报告
朝鲜威胁引发的范式转变
FAMOUS CHOLLIMA组织一年渗透超320家企业,年增幅220%,彻底改写了企业安全威胁格局。
"他们全程使用AI,"Meyers透露,"用生成式AI制作LinkedIn档案、简历,面试时用深伪技术变脸,用AI回答问题,入职后用AI编写代码完成工作。"
其基础设施极为精密:亚利桑那某协调者维护90台笔记本实现远程接入。攻击范围已从美国扩展至法、加、日等国。
人类要素不可替代
所有厂商一致强调自主AI是增强而非取代人类分析师。Meyers指出:"仍需人类威胁猎手运用洞察力与创造力对抗敌手。"
Splunk发布的Mission Control彰显这种"战力倍增器"模式:AI处理常规任务,复杂决策交由人类。即便最激进的自动化倡导者亦承认高风险决策需人类监督。
竞争焦点转向实战成效
尽管SOC自主AI解决方案竞争白热化,2025黑帽大会却呈现出前所未有的行业协同。各大厂商均聚焦三大核心:能理解上下文的情境推理引擎、边界内自主响应框架、基于结果持续进化的学习系统。
谷歌云安全Chronicle SOAR推出代理模式,可自动跨数据源调查警报并生成完整分析包。IBM等传统保守厂商也为现有产品添加自主调查功能。行业竞争已从"有无AI"升级为"运营卓越度"比拼。
网络安全行业正见证攻击者在三大主攻方向运用生成式AI,迫使防御方采用同等先进的AI安防。来源:CrowdStrike 2025威胁狩猎报告
AI或成下一波内部威胁
Meyers发出大会最严峻预警:"AI将成为下一代内部威胁。企业过度信任AI执行各类任务,随着依赖加深,输出审查将日益松懈。"
这引发标准化与治理讨论。云安全联盟成立自主AI安全标准工作组,多家厂商承诺推进AI代理互操作性。CrowdStrike将Falcon Shield扩展至GPT代理治理,思科与Hugging Face推进AI供应链安全,显示行业已意识到保障AI代理自身安全与使用其防护同等重要。
Meyers警告:"攻击节奏持续加速,4月零售业、5月保险业、6-7月航空业相继遭Scattered Spider攻击。企业等不起完美方案。"
核心结论
本届黑帽大会验证了安全从业者的预见:AI驱动攻击正通过意想不到的途径威胁企业。
人力资源成为突袭入口。FAMOUS CHOLLIMA正渗透所有可触及的欧美科技公司,既为朝鲜武器计划筹措资金,又窃取核心知识产权。这场博弈的赌注包含企业命脉、国家安全和客户信任。
