当整个行业沉迷于用更多 GPU 和更多 Token 来构建防御城墙时,Redis 作者 antirez(Salvatore Sanfilippo)抛出了一记清醒剂。在其最新文章《AI cybersecurity is not proof of work》中,他直指当前 AI 安全领域的一个根本性谬误:将大语言模型发现漏洞的能力等同于工作量证明(Proof of Work)机制 —— 以为投入更多算力就能找到更多漏洞。这篇文章的影响不仅在于技术层面的纠偏,更在于它撕开了「算力即安全」这一叙事的伪装,迫使我们重新审视 AI 网络安全的本质逻辑。
工作量证明的数学承诺与安全假设
要理解 antirez 的批判,首先需要理解工作量证明的核心属性。在经典的 PoW 系统中 —— 无论是比特币的 SHA-256 哈希碰撞还是 Ethash 的内存硬计算 —— 存在一个关键数学特性:随着难度参数 N 的指数级增长,找到满足条件的解 S 所需的 work 也会指数级增长,但这种增长是确定性的。只要投入足够多的计算资源,理论上一定能够找到解。这里的「足够多」是一个资源门槛,而非一个不可逾越的极限。换言之,在 PoW 游戏中,拥有更多算力的一方最终必然获胜,因为这本质上是一场资源消耗战。
这正是当前许多 AI 安全方案的隐含假设。许多企业部署的「AI 护盾」基于这样一个逻辑:如果攻击者使用 LLM 来扫描代码、发现漏洞、生成攻击 payload,那么防御方可以通过某种机制 —— 无论是增加验证轮次、引入多层检测、还是要求攻击模型完成复杂的 Token 消耗任务 —— 来提高攻击成本。只要攻击者需要投入更多 Token、更多计算,就能有效遏制自动化攻击。这种思路被形象地称为「算力军备竞赛」:攻击者的模型需要更强的推理能力,防御者就部署更强的检测模型;攻击者需要更多 Token 来生成漏洞利用代码,防御者就设计更复杂的验证谜题。
然而,antirez 指出,这个类比忽略了一个根本性的差异:PoW 中的「工作」是可以无限累积的线性函数,而 LLM 发现漏洞的能力存在一个不可逾越的天花板 —— 模型本身的智能水平。
采样数量的陷阱:为什么增加 Token 无法突破智能上限
antirez 提出了一个关键论点:假设我们对同一段代码采样 M 次以寻找漏洞,当 M 足够大时,采样的上限不再是 M 本身,而是「I」,即模型的情报智能水平(Intelligence)。这个洞察来自于对 LLM 工作机制的深刻理解。大语言模型的输出并非在所有可能的 token 序列上进行均匀采样,而是受到模型内部表示空间的严格约束。模型对代码的理解深度、推理路径的覆盖范围、跨上下文关联的能力 —— 这些由训练数据和模型架构决定的因素,构成了一个无法通过简单增加采样次数来突破的「智能墙」。
为了论证这一点,antirez 给出了一个极具说服力的实例:OpenBSD SACK 漏洞。这是一组经典的 Linux 内核漏洞,涉及 SACK(Selective Acknowledgment)处理流程中的多个关联缺陷 —— 起始窗口缺乏验证、整数溢出、以及条件分支的逻辑错误。antirez 明确指出,使用较弱的模型进行无限次采样,模型可能会产生幻觉(hallucination),偶尔会「碰巧」命中真实问题中的某个单一缺陷,但它永远无法将这些看似独立的缺陷串联起来,理解它们组合在一起时才会出现的真正漏洞。较弱模型的「发现」本质上是模式匹配 —— 它学会了某些常见的漏洞模式,然后将这些模式机械地套用到代码上,而无法真正理解漏洞的因果链条。
更有趣的是,antirez 还观察到一个反直觉的现象:使用足够强的模型(但不是最强的那种),它发现漏洞的概率反而更低。这是因为强模型的幻觉更少,但它的真正理解能力又不足以发现这个特定的漏洞。这形成了一个危险的「中间地带」:在某个智能水平区间内,模型既会自信地声称发现了漏洞(幻觉),又无法真正理解漏洞的全貌。在实际安全场景中,这种状态是最危险的 —— 它会产生大量误报,或者遗漏真正的高危漏洞。
实用主义视角:经济性分析与工程落地的双重困境
从商业合理性的角度审视「Token 消耗防御」思路,其核心逻辑是通过增加攻击者的经济成本来实现防御目标。这一逻辑在传统的 DDoS 防御、验证码、速率限制等场景中被证明是有效的,但在 AI 驱动的攻击场景中面临双重困境。
第一层困境是边际效益递减。假设当前攻击者使用一个中等规模的模型(如 GPT-4 级别)来扫描代码库,每一次扫描消耗 100 万 Token,成本约为 10 美元。防御方如果将检测门槛提高,使得攻击者需要消耗 500 万 Token 才能获得可用的攻击 payload,那么成本上升了 5 倍。但这是否真的能阻止攻击者?答案取决于攻击的收益。如果目标是窃取一个拥有数百万用户数据的数据库,一次成功的攻击可能带来数百万美元的价值。在这种情况下,50 美元的成本上升几乎可以忽略不计。更关键的是,攻击者可以选择使用更强大的模型 —— 一个更强的模型可能用更少的 Token 完成同样的任务,从而抵消防御方的成本上升努力。这里存在一个根本性的不对称:防御方在增加 Token 消耗时,攻击方也在升级模型能力。
第二层困境是工程实现的复杂性。要设计一个真正有效的 Token 消耗防御系统,需要精确评估「多少 Token 才够」的阈值。设置过低,防御形同虚设;设置过高,则会严重影响正常用户的使用体验。现实中,许多企业为了不「打扰」用户,会选择较低的阈值,这恰恰给了攻击者可乘之机。此外,Token 消耗防御还需要考虑模型迭代的速度 —— 当新模型发布时,原来被认为足够安全的阈值可能迅速变得不够。
模型能力才是真正的分水岭
antirez 在文章末尾给出了一个简洁而有力的结论:「明天的网络安全不会是『更多 GPU 获胜』的模式;相反,更好的模型,以及更快速地访问这些模型,将成为赢家。」这个论断并不是在否认算力的重要性,而是指出在 AI 安全领域,算力只是必要条件,而非充分条件。一个能力较弱的模型无法通过更多的采样来弥补其智能上的不足;一个能力强大的模型则可能在极少的采样中找到人类安全专家都无法发现的漏洞。
这对于安全团队的启示是明确的:与其将资源投入到构建「Token 消耗墙」,不如关注模型能力的提升和智能化检测体系的构建。这意味着需要投入更多精力在威胁情报的收集与模型训练上,需要建立更精细的异常行为检测机制,需要培养能够与 AI 系统协同工作的安全人才。换言之,AI 安全的核心竞争力将不再是「谁能消耗更多算力」,而是「谁能构建更智能的模型和更高效的人机协作体系」。
当然,这并不意味着 Token 消耗防御思路应该被完全抛弃。在特定场景下 —— 例如阻止大规模的自动化脚本攻击、或者在资源受限的环境中实施轻量级防护 —— 它仍然有其价值。但将其视为应对 AI 驱动攻击的「银弹」,则是一个危险的误区。antirez 的这篇文章之所以值得重视,正是因为它提醒我们:在 AI 时代,网络安全的本质正在发生根本性的变化,而我们应对这种变化的方式,也需要从「体力竞赛」转向「智力升级」。
参考资料
- antirez: 《AI cybersecurity is not proof of work》, antirez.com, 2026 年 4 月