2025年11月,网络安全初创公司RunSybil的联合创始人弗拉德·约内斯库(Vlad Ionescu)和阿里尔·赫伯特-沃斯(Ariel Herbert-Voss)的AI工具Sybil发现了一个令人惊讶的发现。
Sybil通过结合多个AI模型和专有技术,扫描计算机系统中可能被黑客利用的漏洞,如未修补的服务器或配置错误的数据库。在这次检测中,Sybil发现客户部署的联合GraphQL(一种用于API数据访问的查询语言)存在安全隐患,导致机密信息可能被泄露。
令人惊讶的是,发现这一问题需要对多个系统及其交互方式有深入理解。RunSybil表示,他们随后在其他GraphQL部署中也发现了相同问题,且领先于公开发现。赫伯特-沃斯表示:"这标志着AI模型能力的重要突破。"
这凸显了日益增长的风险。随着AI模型智能水平提升,它们在发现零日漏洞等安全隐患方面的能力也在增强,而这种能力既可用于防御也可用于攻击。
加州大学伯克利分校的计算机科学家宋晓冬(Dawn Song)指出,近期AI在模拟推理和主动式操作方面的进展,显著提升了模型的网络安全能力。"前沿AI模型的网络安全能力在近几个月大幅提升,这是一个重要拐点。"
为评估大型语言模型的漏洞发现能力,宋参与创建了包含188个项目、1,507个已知漏洞的CyberGym基准测试。测试显示,Anthropic的Claude Sonnet 4在2025年7月能发现约20%的漏洞,而到2025年10月,Claude Sonnet 4.5的识别率提升至30%。
宋建议采取新的应对措施,包括让AI协助网络安全专家,以及在AI模型发布前与安全研究人员共享以便提前发现问题。她的实验室已证明,AI可以生成比当前更安全的代码。
然而,RunSybil团队警告称,短期内AI的编码能力可能让黑客占优。赫伯特-沃斯指出:"AI在计算机操作和代码生成方面的能力提升,可能加速攻击性安全行动的发展。"
