360 AI安全研究院最新发布的报告显示,AI驱动的漏洞挖掘技术正经历关键转型,从实验室环境下的模型能力展示迈向真实系统环境中的工程化应用。研究指出,随着大模型与智能体技术的突破,网络安全领域正形成以"真实系统验证"为核心的新竞争维度,能否在复杂生态中实现漏洞全生命周期管理成为衡量AI安全能力的关键指标。
报告分析称,传统网络安全攻防以漏洞发现速度为核心指标,但AI技术的介入正在重构游戏规则。当前技术发展已突破单纯的能力展示阶段,Anthropic Mythos、Fable 5等前沿模型在关键基础设施防护、软件供应链治理等场景的落地应用,标志着AI漏洞挖掘正式进入实战化阶段。这种转变要求安全体系必须具备自主可控能力,以应对新型战略安全挑战。
技术路线方面,研究识别出两条并行发展路径:以基础大模型为核心的"能力涌现路线"凭借强大的代码理解能力实现广泛覆盖;以安全智能体为中心的"工程实战路线"则通过整合专家经验、知识库和自动化流程,构建起闭环验证体系。360安全团队的实践表明,后者在真实场景中展现出更强适应性,其开发的漏洞挖掘智能体已在OpenClaw生态系统中发现23个独立漏洞,其中12个被评定为高危级别。
工程化验证带来的突破尤为显著。该智能体在Flowise安全审计中挖掘出13个零日漏洞,其中12个获得项目方确认,5个已完成修复。这些发现覆盖认证绕过、远程命令执行等七大类新型风险,暴露出智能体框架在工具调用权限、数据流转控制等方面存在的系统性缺陷。截至报告发布时,该系统累计发现3432个漏洞,其中105个通过监管渠道确认。
报告特别强调"生态传导风险"这一新现象。研究发现,智能体生态中的漏洞往往呈现多米诺效应,框架层缺陷可能通过工具链、权限模型扩散至整个生态。某主流框架的认证漏洞导致其10个衍生产品集体暴露风险,新增Skill组件平均扩大37%的攻击面。这种连锁反应要求安全防护必须具备生态级视角,而非传统的单点防御模式。
在即将召开的ISC.AI 2026大会上,360将展示智能体技术在真实安全场景中的最新突破。据透露,其研发的漏洞治理系统已实现从发现到修复的全流程自动化,在某大型企业的测试中,将平均修复周期从72小时压缩至8小时。这种转变预示着网络安全竞争正从模型参数比拼,转向包含工具链、数据治理和专家系统在内的体系化对抗。
