当 AI 工具能在数秒内扫描数千行代码并定位潜在漏洞时,漏洞研究者这一职业正在经历前所未有的身份危机。2026 年的安全社区不再仅仅围绕技术能力划分阵营,更深刻的文化分裂正在手动审计派与 AI 自动化派之间产生 —— 这场分裂不仅关乎工具选择,更触及职业价值、技能定价与行业未来的根本叙事。
两种文化的根源与碰撞
漏洞研究领域长期存在两种截然不同的披露文化。以 Linux 内核为代表的 “漏洞即漏洞” 派主张快速修复、沉默发布,认为只要修复本身公开,攻击者就难以利用未公开的漏洞信息;而以主流厂商为代表的 “协调披露” 派则强调给开发者足够的时间窗口,通常设定 90 天 embargo 期,让受影响方在漏洞公开前完成补丁部署。这两种文化各有拥趸,但在 AI 加速漏洞发现的背景下,它们都面临根本性的挑战。
Jeff Tk 在其分析文章中指出,AI 工具如今已能在给定提交记录后立即判断该提交是否涉及安全修复。他测试了 Gemini 3.1 Pro、ChatGPT-Thinking 5.5 和 Claude Opus 4.7,三者均能准确识别内核安全补丁。这种能力意味着什么?意味着攻击者与防御者之间的信息差正在被急剧压缩 —— 过去依赖漫长的 embargo 期来争取修复时间的做法,在 AI 时代已不再可靠。同样,“漏洞即漏洞” 派假设的 “静默修复即安全” 也因为 AI 能够快速比对版本差异、分析提交模式而失效。
这种技术现实直接催化了社区内部的派系冲突。一方认为 AI 是安全从业者梦寐以求的 - force multiplier,能够将人类从繁琐的代码审查中解放出来,专注于更高阶的威胁建模与漏洞利用链构建;另一方则担忧,当 AI 能够以极低成本批量产出漏洞发现时,人类审计员的独特价值何在?这种焦虑并非空穴来风 —— 在 Copy Fail 漏洞事件中,从业者 Hyunwoo Kim 报告漏洞后仅 9 小时,另一位研究者 Kuan-Ting Chen 也独立发现了同一漏洞。AI 加速的不仅是防御,更是漏洞发现的竞争节奏。
效率提升派的崛起与逻辑
拥抱 AI 自动化的一方,其核心论点是清晰的:AI 工具能够以指数级速度扩展漏洞发现的覆盖面。传统手动审计受限于人类注意力的持续性与体力 —— 即使是顶尖的安全研究员,也需要花费数小时乃至数天来分析一个复杂的代码库。而 AI 可以在数分钟内完成对数百万行代码的初步扫描,识别出模式化的漏洞模式(如缓冲区溢出、SQL 注入、权限绕过等),并按照严重程度排序输出候选结果。
这一方的实践者通常会构建所谓的人机协作工作流:首先由 AI 完成大规模 triage(分诊),筛选出高置信度的漏洞候选;随后由人类安全研究员进行深度验证、上下文判断与利用可行性分析。在这种分工下,AI 负责 “发现”,人类负责 “判定”。这不仅提升了整体吞吐量,更重要的是改变了安全团队的人员结构 —— 部分初级岗位的职责从 “发现问题” 转向 “验证问题”,对从业者的技术深度与判断力提出了更高要求,但也意味着入门门槛的相对下降。
更重要的是,AI 工具正在重新定义漏洞研究的生产函数。过去,一个安全团队每月能完成多少次代码审计受限于人力;如今,配备 AI 辅助工具的团队可以将相同周期内的审计量提升一个数量级。对于企业安全预算而言,这意味着用更少的投入获得更广泛的覆盖 —— 这正是管理层喜闻乐见的效率叙事。
技能贬值派的焦虑与反思
然而,另一派的声音同样值得倾听。手动审计派并非盲目拒绝技术进步,他们的担忧植根于对职业本质的深刻理解:漏洞研究的真正价值往往不在于识别已知模式,而在于发现那些 AI 尚未学习到的异常、上下文依赖的逻辑缺陷、以及需要对特定业务场景有深度理解才能识别的设计漏洞。AI 可以轻松检测出使用 strcpy 的不安全代码,但难以发现一个看似合理但实际违背业务规则的权限继承漏洞 —— 这类问题需要的是对系统设计意图的深层理解,而非模式匹配。
更现实的焦虑来自经济层面。当 AI 能够以极低成本完成基础漏洞扫描时,市场对纯执行层面的安全测试人员需求会显著下降。行业报告显示,相当比例的 IT 与安全从业者已经感受到 AI 带来的职业压力 ——60% 的受访者表示因网络威胁升级和工作负荷增加而在考虑离职,而 AI 工具的引入虽然表面上能减轻负担,实际上往往将责任转移给人类操作员来验证 AI 输出、承担最终决策风险,认知负荷不降反升。
这并非危言耸听。漏洞研究社区中出现了一种微妙的分化:顶层研究员通过掌握 AI 工具来放大自身能力边界,成为 “AI + 领域专家” 的混合型角色;而中底层从业者面临的任务日益趋于验证性工作,技术深度要求下降,可替代性上升。这种分化如果持续扩大,将对整个安全人才生态造成结构性影响。
走向融合:实践中的第三条路
面对这种文化分裂,成熟的从业者正在探索一条融合路径 —— 既不盲目拥抱 AI 效率,也不固守手工审计的黄金时代,而是建立一种动态的能力组合。
首先是将 AI 定位为 “放大器” 而非 “替代者”。具体而言,从业者应当明确区分哪些工作适合自动化、哪些必须保留人工判断。自动化适合的工作包括:大面积代码的模式化扫描、已知漏洞库的持续监控、补丁回归测试的批量执行、以及初步的漏洞优先级排序。而人工判断不可替代的领域包括:新型漏洞类型的识别(0day、逻辑漏洞、业务逻辑缺陷)、漏洞利用链的构造与验证、影响范围的主观评估、以及与开发团队就修复方案进行的沟通协调。
其次是技能栈的系统性升级。仅仅掌握传统渗透测试技术已不足以应对 AI 时代的竞争,从业者需要额外具备以下能力:AI 模型的输入工程能力 —— 学会向 AI 工具提供有效的上下文提示、解读模型的输出置信度、识别模型的盲点;自动化工作流的构建能力 —— 能够将 AI 工具集成到 CI/CD 流水线、漏洞管理平台中,实现从发现到报告的端到端自动化;以及 AI 安全的专项知识 —— 理解对抗样本攻击、模型投毒、提示注入等新型威胁,这将成为安全团队中越来越重要的差异化能力。
最后是从心态上接受 “渐进式适应” 而非 “革命性颠覆”。AI 不会在一夜之间取代漏洞研究员,但会持续改变这一职业的形态。与其对抗这一趋势,不如主动将自己定位为 AI 的 “训练者” 与 “监督者”—— 告诉 AI 什么值得注意、验证 AI 的输出是否准确、补充 AI 缺失的上下文信息。这种角色的本质是成为人机协作系统中的 “决策中枢”,而非被动的 “验证环节”。
行动清单:从业者的自适应策略
基于上述分析,以下是面向不同阶段从业者的可执行建议:
对于入门至中级安全工程师,建议在六个月内完成三项关键任务:其一,系统学习至少一种主流 AI 代码审计工具的使用方法与局限,了解其在实际项目中的误报率和漏报特征;其二,选择一个自己熟悉的代码库,完整走一遍 AI 辅助审计流程,记录 AI 擅长与薄弱的环节,形成内部知识文档;其三,开始积累自动化脚本能力,学习将重复性工作封装为可复用的工具或流水线组件。
对于高级安全研究员与团队负责人,建议关注两个方向:一是建立团队内部的 AI 工具评估框架,明确哪些场景适合引入 AI、哪些场景必须保持纯人工审计,并将这一决策过程文档化、制度化;二是推动组织层面的 AI 治理,包括模型选择标准、输出验证流程、责任归属界定等,确保 AI 辅助审计符合合规要求与风险管理预期。
对于组织管理者,关键的认知转变是从 “用 AI 替代人力” 转向 “用 AI 扩展能力”。这意味着评估 AI 工具的真正价值不在于节省了多少人力成本,而在于是否提升了整体漏洞发现率、缩短了平均修复时间、降低了关键漏洞的遗漏风险。在此基础上,合理配置人类专家与 AI 工具的比例,避免过度依赖单一技术路径。
结语
AI 漏洞研究社区的文化分裂,本质上是技术变革对职业身份进行重塑时的必然现象。手动审计派与自动化派之争,不是非此即彼的选择题,而是关于如何定义人类在安全工作中独特价值的持续对话。2026 年的安全从业者,既不需要成为 AI 万能论者,也不必陷入技术悲观主义 —— 在效率提升与技能迭代之间找到自己的生态位,才是穿越这场变革最务实的方式。
参考资料:本文核心观点参考 Jeff Tk 关于漏洞披露文化与 AI 加速漏洞发现的分析文章,以及行业关于 AI 与手动安全审计 hybrid 模式的讨论。
内容声明:本文无广告投放、无付费植入。
如有事实性问题,欢迎发送勘误至 i@hotdrydog.com。