Long-form

AI 攻防失衡:当 time-to-exploit 转负,防御方如何用 AI 扳回平衡

11 min read ·

一句话总结:当漏洞利用代码开始跑在补丁前面,防御方唯一的出路不是造一个更聪明的模型,而是造一套能让模型相互验证、证明可利用性的编排架构——这场军备竞赛的胜负手已经从模型转移到了 harness。

攻防非对称性,从来不是新问题

安全行业有一句被说滥但永远成立的话:攻击者只需要找到一个洞,防御者必须堵住所有洞。这是攻防之间最根本的非对称性。它不是某个具体技术造成的,而是结构性的——防御方需要维护的攻击面随系统复杂度线性甚至指数增长,而攻击方只要在这个面上找到一个可利用的点就够了。

过去二十年,这种非对称性被各种工程手段部分对冲:自动化补丁分发、纵深防御、零信任架构、SOC 的检测响应体系。这些手段没有消除非对称性,只是抬高了攻击成本,让攻击方在「找到那一个洞」上付出更多时间。换句话说,防御的本质一直是在「时间」这个维度上做文章——只要我修补的速度快过你利用的速度,天平就还在我这边。

2026 年,这个支撑了整个防御逻辑的时间假设,正在崩塌。

time-to-exploit 转负,意味着防御的时间窗口消失

Mandiant 的 M-Trends 2026 报告给出了一个让从业者后背发凉的判断:time-to-exploit——漏洞从公开披露到被实际利用之间的时间差——已经「转负」。

要理解这个词的重量,得先理解它原本的含义。time-to-exploit 是防御方赖以生存的缓冲带。漏洞被披露后,理想流程是:厂商发补丁、企业测试、灰度上线、全量推送。这个链条本身需要时间,而防御方默认攻击方武器化漏洞也需要时间,只要后者比前者慢,企业就有窗口期把补丁打上。

报告的数据是:28.3% 的 CVE 在披露后 24 小时内就被利用。<24 小时这个数字本身已经把绝大多数企业的补丁流程甩在身后——没有哪个有规模的组织能在一天内完成测试到全量推送。而「转负」比这更进一步:它说的是利用代码常常在补丁发布之前就出现。也就是说,攻击方不再等你披露漏洞、不再等你发补丁,他们自己就能先于厂商找到并武器化漏洞。

这意味着防御逻辑里那个「时间缓冲带」从正数变成了负数。过去你是在补丁和利用之间抢时间,现在你连起跑线都站不到——枪响之前对手已经到终点了。

为什么会这样?因为漏洞发现和利用代码生成这两件过去最耗费人类专家时间的事,正在被 AI 自动化。研究者发现一个洞需要数周的逆向调试,模型可能几小时跑完一批候选;研究者构造一条利用链需要反复试错,模型可以并行尝试上百种路径。当「找洞」和「武器化」的单位时间产出被拉高一两个数量级,攻击方的研发节奏自然就跑赢了防御方的修复节奏。

⚠️ 警告:time-to-exploit 转负不是某个 CVE 的偶发现象,而是攻击方研发流水线整体 AI 化之后的系统性结果。把它当孤立事件来应对,会持续低估威胁的演化速度。

首个 AI 构建的 0-day:信号已经响了

2026 年 5 月 11 日,Google 威胁情报组(GTIG)披露了首个被确认的「AI 构建的 0-day」案例:攻击者用 AI 为一个开源管理工具开发了 2FA 绕过的 0-day,并用于大规模利用。

这个案例的标志性意义,不在于它造成了多大损失,而在于它确认了一件事——攻击侧的 AI 自动化已经从理论走进了实战。在此之前,「AI 能不能找 0-day」更多是研究 demo 和会议话题;GTIG 的披露把它钉死成了既成事实:攻击者已经在用 AI 生产可用于真实攻击的 0-day。

把这个案例和同期的 Pwn2Own Berlin 2026 放在一起看,画面更完整。这场赛事上,研究者利用了 47 个 0-day,拿走 1,298,250 美元奖金,目标涵盖 Windows、Linux、VMware、NVIDIA。Pwn2Own 当然是白帽的合法竞赛,但它揭示了一个客观现实:高价值 0-day 的供给侧产能极其充沛。当合法赛场上一周能产出 47 个 0-day,你很难相信地下世界的产能会更低——尤其是在 AI 把发现成本砸下来之后。

供给侧产能爆发,加上 time-to-exploit 转负,这两件事叠在一起,传递的信号非常清晰:防御方过去依赖的「时间」这条护城河,正在被填平。

防御方的三种回应:Mythos、Daybreak、MDASH

面对这个局面,前沿厂商的回应几乎是同步的,而且方向一致——既然攻击方用 AI 自动化找洞,防御方也得用 AI 自动化找洞,赶在攻击方之前把洞堵上。但具体到架构选择,三家走了三条不同的路。

Anthropic 的 Mythos / Project Glasswing 聚焦在自主漏洞猎取与可利用性证明。它的核心命题是:让 agent 主动去代码库里挖洞,并且不止于报告「这里可能有问题」,而是要证明这个问题真实可利用。

OpenAI 的 Daybreak 于 5 月 11 日发布,把 GPT-5.5 加 Codex Security 嵌入 DevSecOps 流水线。它的思路是「左移」——不等代码上线后再扫,而是在开发阶段、在 CI/CD 流水线里就介入,让安全能力成为开发流程的内建环节。

微软的 MDASH 走的是规模协同路线:上百个专业 agent 多模型协同工作。它的成绩单很硬——已在 2026 年 4-5 月的 Patch Tuesday 实战中发现 16 个漏洞,其中包含 4 个关键 RCE。这不是 demo 数据,是真实进入修复流程的漏洞。

维度Anthropic Mythos / GlasswingOpenAI DaybreakMicrosoft MDASH
核心定位自主漏洞猎取 + 可利用性证明DevSecOps 流水线内建大规模多 agent 协同
介入阶段代码库主动猎取开发 / CI-CD 左移产品安全响应流程
模型策略前沿单体能力为主GPT-5.5 + Codex Security100+ agent 多模型
关键特征证明漏洞真实可利用嵌入开发者工作流发现-协同-去重规模化
实战战绩漏洞猎取验证流水线集成发布Patch Tuesday 发现 16 个漏洞含 4 个关键 RCE

值得注意的是,Cisco、CrowdStrike 同时参与了 OpenAI Daybreak 和 Anthropic Glasswing。这件事本身说明,防御 AI 这个市场已经进入激烈竞争阶段——头部安全厂商不会把宝压在单一供应商上,而是在多条路线上同时下注。这种竞争对防御方是好事,它会加速能力迭代。

核心论点:harness 比模型更重要

读到这里,一个自然的疑问是:这三套系统,谁的模型更强谁就赢?

我的判断是否定的。真正的胜负手,已经从模型本身转移到了模型周围的 harness——编排层、验证层、证明阶段。

为什么这么说?因为「单个模型读单个文件找出全部 bug」这个范式根本不可信。大模型在漏洞发现任务上有一个致命弱点:它会自信地报告大量看似合理实则不存在的漏洞。误报率高到一定程度,安全团队就会淹没在噪声里,整个系统的实用价值归零。一个每天报 500 个「疑似漏洞」、其中 480 个是幻觉的工具,比没有工具更糟,因为它消耗的是最稀缺的资源——安全工程师的注意力。

所以真正能用的防御系统,价值不在「模型能不能找到洞」,而在「系统能不能证明这个洞是真的、可利用的」。这恰恰是 harness 要解决的问题。一个可信的防御流水线大致是这样的:

多 agent 发现阶段:
  多个 agent 并行扫描代码库,各自产出候选漏洞

辩论 / 交叉验证阶段:
  agent 之间相互质疑候选项的合理性
  剔除明显的幻觉和误报

去重阶段:
  把指向同一根因的多个报告合并
  避免同一个洞被反复上报

可利用性证明阶段:
  在隔离沙箱中尝试实际构造利用链
  只有能跑通 PoC 的才算"确认漏洞"

输出:附带可利用性证据的高置信度漏洞清单

这套流程里,没有任何一步是「换个更强的模型」能直接解决的。发现可以靠模型能力,但辩论需要编排逻辑,去重需要工程化的根因聚类,证明需要沙箱基础设施和验证框架。模型只是其中一个零件,而把这些零件组织成一个可信系统的能力——也就是 harness——才是决定成败的东西。

这也解释了为什么微软选择 100+ agent 协同,而不是堆一个更大的单体模型。MDASH 的架构哲学就是承认单模型不可信,转而用多 agent 的发现-协同-去重来逼近可信。它在 Patch Tuesday 拿到的 16 个真实漏洞,本质上是 harness 工程的胜利,而非模型参数的胜利。

💡 提示:评估一套 AI 安全系统时,别只看它「能发现多少漏洞」,要看它「发现的漏洞里有多少能被证明可利用」。前者考验模型,后者考验 harness,而后者才是真正决定系统能不能进生产的指标。

0-day 是故事的开始,不是结束

在一片「AI 找 0-day」的喧嚣里,CrowdStrike 的 Adam Meyers 提供了一个冷静的视角:0-day 是故事的开始而非结束。

这句话点破了一个容易被忽略的事实:即便前沿模型找到了漏洞,攻击者要达成实际目标,还要完成横向移动、权限提升、持久化、数据外泄等一系列后续动作。一个 0-day 只是攻击链的入口,不是终点。

这个观察对防御方有重要的战略含义。它意味着,防御不必、也不可能在「漏洞发现」这一个维度上彻底赢过攻击方——那是一场注定难分胜负的对称竞赛。防御方真正的优势在攻击链的纵深:检测响应、横向移动阻断、异常行为识别。即便攻击者用 AI 拿到了入口,只要后续每一步都被防御 agent 盯着,整条攻击链依然可能在达成目标前被切断。

换句话说,把所有防御资源都压在「比攻击方更快找到 0-day」上,是一种战略误判。更稳健的姿态是:用 AI harness 在漏洞侧尽量缩小窗口,同时在攻击链纵深用 AI 检测把「入口被突破之后」的容错空间建起来。Meyers 这句话提醒我们,攻防的均衡点不在某一个点,而在整条链。

dual-use 困境:同一把刀,两面都锋利

讨论防御 AI,绕不开一个根本性的伦理与安全困境——dual-use。

GPT-5.5-Cyber 这类「许可型」模型,本意是给授权的红队和渗透测试团队用,帮助他们更高效地发现自家系统的弱点。但问题在于,能发现漏洞、能生成利用链的能力,本身是中性的。它用在授权测试里是防御,落到攻击者手里就是武器。Mythos、Daybreak 这些系统也一样——它们越擅长找洞、越擅长证明可利用性,就越是攻击方梦寐以求的工具。

这个困境没有干净的技术解。你无法造出一个「只能用于防御、绝不能用于攻击」的漏洞发现模型,因为「发现漏洞」这个动作在攻防两侧是同一个动作。能做的只有外围约束:严格的访问控制、完整的使用审计、清晰的许可政策、对许可型模型的能力分级与监管。这些约束都不完美,都有被绕过的可能,但它们是目前唯一现实的护栏。

更值得警惕的是时间差。防御工具从研发到部署到企业全面铺开,需要漫长的工程和流程周期;而同样的能力一旦泄露或被复刻,攻击方的部署几乎没有合规摩擦。这意味着在 dual-use 的天平上,攻击方天然占据「部署速度」的优势。这又回到了攻防非对称性的老问题——只不过这次,连防御方手里的工具都可能反过来加剧失衡。

长期均衡:不会有谁彻底赢,但 harness 会定义新基线

那么,这场 AI 攻防军备竞赛的长期均衡会是什么样?

我的判断是:不会有一方彻底赢,但均衡点会被整体推高,而推高的那条线就是 harness 的成熟度。

理由有三。其一,攻防的结构性非对称不会因为 AI 而消失,反而会被放大——因为 AI 同时增强了攻防两侧,而攻击方因为没有合规摩擦、部署更快,会在短期内占据先手。指望防御 AI 把天平彻底扳回去是不现实的。

其二,但攻击方的 AI 优势是有上限的。Meyers 说的「0-day 是开始不是结束」就是这个上限——拿到入口不等于达成目标,攻击链越长,防御方用 AI 在纵深布防的机会就越多。所以攻防会在一个新的、更高强度的水平上重新达成动态平衡,而不是一边倒。

其三,决定这个新均衡点高低的,不是谁的模型更大,而是谁的 harness 更成熟。能把多 agent 的发现-辩论-去重-证明流水线工程化到生产可用的一方,会在这场竞赛里建立起真正的壁垒。模型能力会快速趋同——前沿模型的差距正在缩小——但把模型组织成可信系统的工程能力,才是难以复制的护城河。MDASH 在 Patch Tuesday 的战绩、Glasswing 对可利用性证明的执着,都指向同一个结论:未来几年安全行业的竞争,是 harness 的竞争。

对企业防御方的现实启示也很清楚:不要迷信「买个最强的安全大模型就安全了」。真正该投入的,是围绕模型的编排、验证、沙箱证明能力,是把 AI 嵌入 DevSecOps 流水线的工程改造,是攻击链纵深的检测响应建设。模型是买来的,harness 是建起来的,后者才是你的核心资产。

小结

time-to-exploit 转负,是 AI 时代攻防关系的一次范式转折——它宣告了防御方赖以生存的「时间缓冲带」正在消失。Google 披露的首个 AI 构建 0-day,加上 Pwn2Own 上 47 个 0-day 的产能,确认了攻击侧 AI 自动化已成既成事实。

防御方的回应——Mythos、Daybreak、MDASH——本质上是「用 agent harness 对抗 agent 攻击」。而这场竞赛的真正胜负手,不在模型原始能力,而在模型周围那套能让多 agent 发现、辩论、去重、证明可利用性的编排架构。harness 比模型更重要,这是 2026 年安全行业最该被记住的一句话。

dual-use 困境无法被技术消解,攻防的非对称性也不会被 AI 抹平。但这场军备竞赛的长期均衡,会被推高到一个由 harness 成熟度定义的新基线。谁能把模型组织成可信的防御系统,谁就握住了下一阶段的主动权。0-day 是故事的开始——而 harness,将决定这个故事怎么结尾。

Frequently asked questions

什么是 time-to-exploit 转负?
time-to-exploit 指漏洞从公开披露到被攻击者实际利用之间的时间差。转负意味着这个差值变成了负数——利用代码或攻击行为在官方补丁发布之前就已经出现。这表示攻击方的研发节奏已经跑赢了防御方的修复节奏,是攻防天平倾斜的量化信号。
AI 构建的 0-day 和传统 0-day 有什么区别?
传统 0-day 依赖人类研究者手工逆向、调试、构造利用链,耗时数周到数月。AI 构建的 0-day 把漏洞发现、利用代码生成、绕过逻辑设计交给模型自动化完成,单位时间产出大幅提升,且可批量化复用。2026 年 5 月 Google 披露的 2FA 绕过案例是首个确认用于大规模利用的实例。
为什么说 harness 比模型本身更重要?
单个模型读单个文件找出全部 bug 的范式不可信,幻觉率高、误报多、无法证明漏洞真实可利用。真正可信的防御来自模型外围的编排层:多 agent 分工发现、相互辩论、去重、再用沙箱证明可利用性。这套 harness 决定了系统在真实环境里能不能用,其工程价值已经追平甚至超过模型原始能力。
Mythos、Daybreak、MDASH 三者的核心差异是什么?
Anthropic 的 Mythos/Glasswing 偏向自主漏洞猎取与可利用性证明;OpenAI 的 Daybreak 把 GPT-5.5 加 Codex Security 嵌入 DevSecOps 流水线,强调左移到开发阶段;微软的 MDASH 用上百个专业 agent 多模型协同,已在 Patch Tuesday 实战发现 16 个漏洞。三者分别代表猎取、流程内建、规模协同三条路线。
AI 防御工具的 dual-use 隐忧具体指什么?
同一套能发现漏洞、生成利用链的能力,用于红队渗透测试是防御,落入攻击者手中就是武器。GPT-5.5-Cyber 这类许可型模型本意是给授权安全团队用,但其能力边界和滥用风险难以彻底隔离。这是 AI 安全工具无法回避的双刃剑困境,需要靠访问控制、审计和政策共同约束。
// next.txt ›

Some outbound links in this post are affiliate links — see disclosure.