信鸽中文
热门优惠英文新闻

AI聊天泄密成常态中国科学报

6/16/2026

“以前写个‘病毒’,得是编程高手;现在跟大模型聊几句,一个没有多少技术背景的人就能生成高风险的攻击工具。”在日前举行的北京网络安全大会(BCS 2026)上,中国工程院院士、中关村实验室首席科学家云晓春的一番话,道出了大模型时代下的网络安全形势变化:网络攻防的“游戏规则”已经被改写。

云晓春说,大模型技术正在以“一日千里”的速度重塑网络安全的一切:攻击门槛指数级降低、防御自动化大幅跃升、威胁主体多元智能,甚至大模型自身也会成为“靶子”——统计显示,仅需250条恶意文档,就能完成对大模型的“投毒”和后门植入;大模型攻击者通过简单的操纵就能让AI成为“无意识共犯”。

“当我们跟AI的交互越来越多,对AI的依赖性越来越强,它无意识的‘欺骗’对社会的危害就越来越大。”云晓春不无担忧地说,未来,唯有主动拥抱范式变革,才能在攻防不对称持续加剧的时代中构建真正的安全韧性。

云晓春院士。大会主办方 供图

不懂编程也能当“黑客”,网络攻击正变得“平民化”

在云晓春看来,AI时代,网络攻击除了门槛从“专家级”降到了“聊天级”,攻击效能也发生了质的飞跃。

他引用2025年的案例数据指出,在大模型辅助下,定制化攻击工具的平均开发时间从以往的8~10周,缩短到了5~7天;一名操作员能够同时并行操控的攻击会话数,从传统模式下的3~5个,暴增至50~200个。

“以前,黑客对特定目标发起长期、隐蔽性强的高级持续性威胁(APT)攻击,要靠一堆人,人力密集型是一个非常核心的特征。但引入大模型以后,APT的能力就能‘规模化定制’。”云晓春说,如今一个高水平的AI攻击工具,“最快能到小时级”。

好消息是,防守方也在用AI。云晓春表示,当前,大模型也正在推动网络安全防御的自动化水平“获得非常高的跃升”。同时,响应决策的自动化也大大提速。

“大模型可以代替人类完成初步判断和响应,人类退后到‘监督者’的角色。决策效率的提升,直接缩小了系统暴露于风险的窗口期。”云晓春说,在溯源能力上,AI也能显著缩短周期,增强对攻击链路的预测和还原能力。

然而,攻防是一场竞速赛。云晓春警告,尽管防御自动化在进步,攻击节奏的压缩则更加惊人——整个攻击流程已从天级被压缩到分钟级。例如,前不久引发业界震动的“Mythos”案例中,一个在OpenBSD系统中隐藏了27年未被发现的漏洞,被AI在4个小时内找到,并自动生成了攻击代码。

“你还没反应过来,攻击已经完成了。”云晓春坦言,按照传统的防御思路,根本防不住。

大模型成了“新靶子”

更让人防不胜防的是,大模型技术本身,也正在成为网络攻击的“高价值目标”。

“大模型从基础设施层、模型层到应用层,都存在大量脆弱点,模型供应链和数据管道尤其危险。”云晓春以“数据投毒”为例说道,2025年Anthropic等机构的一项研究发现,仅需250条恶意文档,就能完成对一个大模型的后门植入——而且这与模型规模大小无关,小模型同样易受攻击。

用户使用大模型,同样风险高企。云晓春指出,随着人们对AI的依赖性越来越强,大模型随时可能变成“无意识共犯”。原因很简单,攻击者可以通过操纵AI系统,让它帮攻击者误导或欺骗使用者。

此外,如今许多企事业单位鼓励员工使用大模型辅助工作,但不为人知的是,员工可能在不经意间就把单位的内部敏感数据或商业机密“喂”给了大模型。云晓春援引第三方统计数据指出,在工作场景中,平均每31个提示词中就有1个包含了敏感信息或重要数据。

“网络、信息、认知‘三位一体攻击’正成为现实。”云晓春说,过去“认知战”和“信息战”是相对独立的研究方向,但在大模型时代,二者已有机融合。而关键信息基础设施对大模型的依赖日益加深,大模型一旦出问题,将对其造成系统性的连锁冲击。

告别僵化规则,重构“新防线”

面对严峻的威胁态势,老办法显然行不通了。云晓春直言,静态防御、单点安全产品和低自动化的人工运营流程、封闭生态的专有安全架构等传统技术方向的价值正在“断崖式下降”,未来的安全防御应告别僵化规则,转向“AI自治+弹性网络+开放生态”,重构大模型时代下的“新防线”。

就此,他对网络安全领域提出了3个需要发力的方向。

一是大模型“原生安全”。不能只在外面套一层规则,而要把安全能力“内嵌”到模型里。这包括研究安全对齐与模型能力的协同优化,建立对“涌现能力”的预警机制;提升可解释性,让模型的推理过程透明化,摆脱“黑箱”;同时,还要保护模型权重和推理过程的完整性,防止模型被窃取或蒸馏。

二是AI自主安全运营体系。要构建端到端的闭环架构,让威胁检测、遏制、溯源全流程由机器自主完成,人类只负责策略监督和异常“仲裁”。同时,要研究兼具韧性和弹性的网络系统——即便部分防线被攻破,系统仍能维持关键功能。此外,需要建立动态策略生成的对抗系统,对攻击者持续建模,让防御策略实时演化,而不是静态等待。

三是重新审视和构建供应链安全。大模型催生了新的供应链风险。数据投毒防御要从“事后检测”转向“全过程免疫”,从数据采集、清洗到训练各环节都要设防。要建立模型生态软件的物料清单和动态风险评估机制,管理好第三方插件。还应发展联邦安全协议,让分散的力量协同应对威胁。

为此,云晓春呼吁网络安全界进行“研究范式与资源分配的战略调整”。传统安全工具的开发要跃迁到智能体的构建——创造能够自主感知、认知、决策、行动的软件实体;网络安全研究必须走向多学科融合,认知科学、法学、伦理学、经济学等不再是旁支,而应成为常设组成部分;要常态化开展AI化的“红蓝对抗”,持续、规模化地进攻式演练;同时设立伦理治理框架,关注自主武器化、算法问责、偏见公平等核心议题。

“大模型技术正在重构网络安全的每一个维度。”云晓春强调,唯有果断调整资源分配,聚焦前沿方向,才能在攻防不对称持续加剧的时代中,构建真正的安全韧性。

Scroll for more