惟愿此心无怨尤

【读书笔记】Sequoia AI Ascent 2026(九):Oege de Moor — 自主AI黑客的崛起

18 min

00:04

从人类辅助到完全自主

  • 关键细节:演讲开始时提到了墨西哥政府数据泄露的事件,在此事件中,人类黑客将OpenAI和Anthropic等大语言模型作为”助手”来实施大规模的数据窃取。

  • 定义

  • 自主黑客攻击(Autonomous Hacking):AI系统在没有任何人类干预或协助的情况下,独立完成所有黑客攻击工作的过程。

  • 洞见:网络安全威胁正在从”AI辅助人类”向”纯AI自主行动”演变。

00:37

网络安全的现状与长篠之战

历史的类比

  • 视觉参考:幻灯片展示了1575年日本”长篠之战(Battle of Nagashino)“的古画,左侧是装备了最新火枪的织田信长(Oda Nobunaga)军队,右侧是以”无敌”著称的武田(Takeda)氏传统骑兵。

  • 类比与隐喻

  • 织田信长:代表采用最新AI武器(AI自动化黑客技术)的新兴势力。尽管他曾经是个不起眼的小军阀,但他将战争视为一个需要优化的”系统”。

  • 武田骑兵:代表拥有丰富经验和传统”无敌”声誉的人类安全专家和旧防线。

  • 使用原因:演讲者借此隐喻强调——无论过去的经验多么丰富,在绝对的技术代差(火枪 vs 骑兵 / AI vs 传统防御)面前,“拥有AI的一方必将获胜。”

  • 重要引述:“The situation in cyber security today is akin to the battle of Nagashino in 1575 in Japan… The situation in cyber security is going to be exactly the same. Those with AI will win.”(“当今网络安全的局势就好比1575年日本的长篠之战……网络安全的未来也是完全一样的。拥有AI的人将会获胜。”)

01:30

真实案例:必应图像搜索漏洞

攻击微软的实战

  • 视觉参考:幻灯片显示”微软必应图像远程代码执行漏洞(Microsoft Bing Images Remote Code Execution Vulnerability)“,CVE编号为CVE-2026-32191,发布于2026年3月19日。

  • 关键细节

  • 必应(Bing)图像搜索是世界上安全性最高的系统之一,由微软顶尖工程师保护,但也同时经受着全球成千上万黑客的持续攻击。

  • 演讲者的公司(XBOW)的AI产品发现了一个极其危险的漏洞。

  • 术语解释

  • 远程代码执行(RCE / Remote Code Execution):最严重的一种网络漏洞。攻击者可以借此在目标系统上运行任意代码,从而完全接管该系统。

  • 洞见:XBOW发现此漏洞仅仅只需要输入一个URL,完全不需要其他前置信息。该服务的标价为3000美元,这证明了自主AI攻击具有快速、廉价且极度高效的特点。

02:33

XBOW的工作原理与人类的质疑

AI的操作逻辑与国际象棋的隐喻

  • 关键细节:XBOW的工作方式与人类黑客非常相似。

  • 行动流程:侦察(Reconnaissance) -> 派出代理/侦察兵(Scouts)发现攻击面 -> 优先级排序(找出看起来最”多汁”、最有希望得手的端点) -> 尝试所有相关的攻击类型。

  • 视觉参考:幻灯片展示了1997年国际象棋大师加里·卡斯帕罗夫(Garry Kasparov)被超级计算机”深蓝(Deep Blue)“击败时抱头懊恼的照片。

  • 类比与隐喻:借用卡斯帕罗夫输给深蓝的历史,讽刺当今许多人类安全研究员依然盲目自信,认为机器”不可能”完全自主地完成复杂的黑客任务。

03:08

在HackerOne上的验证

登顶全球黑客排行榜

  • 视觉参考:幻灯片显示了HackerOne平台的排行榜,名为”xbow”的账号在声誉(Reputation)、信号(Signal)和影响力(Impact)等指标上均击败了人类黑客,排名第一。

  • 术语解释

  • HackerOne:一个漏洞赏金平台,连接了希望测试自身系统的企业和提供攻击测试的”白帽/道德黑客”。发现优质漏洞即可获得赏金和积分。

  • 关键细节:为了反驳人类的质疑,XBOW在去年被注册到了HackerOne平台。

  • 几周内,XBOW成为美国排名第一的黑客。

  • 到了8月,它成为了全球排名第一的黑客。

  • 洞见:这是一个完全的黑盒测试(Blackbox Testing)(即只给URL,不给源代码),证明了AI可以在真实的、非玩具级别的开源Web应用上自主工作。

04:20

基础模型的演进与”合金”策略

模型的组合与进化

  • 视觉参考:展示折线图”XBOW leveraging frontier models, Aug 2025 to now”。图表显示,随着底层模型从Sonnet 3.7升级到Gemini 2.5、GPT-5、Opus等,AI黑客的成功率直线上升。

  • 关键细节

  • XBOW登顶排行榜时,使用的是Sonnet 4.0和Gemini 2.5的”合金”。

  • 后来发布的GPT-5,根据其性能推算,表现至少是人类顶尖黑客的3倍。

  • 术语解释

  • 合金(Alloys):一种模型组合策略。将攻击视为一系列动作,在每一步中”抛硬币”决定调用哪个模型(例如随机选择Gemini或Sonnet)。

  • 类比与隐喻

  • 结对编程(Pair Programming):演讲者将”合金”策略比作两名程序员结对工作,两个不同的AI模型能够互相弥补对方的错误,整体效果远超任何单一模型。

05:21

黑盒测试 vs. 白盒测试(以Mythos为例)

真实可利用性优于理论分析

  • 视觉参考:幻灯片展示了一篇CBS新闻截图:“Anthropic的Mythos AI能够发现地球上几乎每一台计算机的弱点”。下方提出问题:“这些漏洞在野外(真实环境)可被利用吗?它们是配置/部署问题还是代码错误?”

  • 术语解释

  • 白盒测试(Whitebox Testing):测试者(或AI)拥有目标系统源代码访问权限的测试方法。例如Anthropic的Mythos擅长阅读源码找寻漏洞。

  • 黑盒测试(Blackbox Testing):测试者(如XBOW和真实黑客)在不知道内部源代码的情况下,仅通过外部接口(如URL)寻找漏洞。

  • 洞见:通过阅读源码发现的漏洞未必在真实部署中可以被利用(Exploitable in the wild)。并且,许多漏洞实际上是配置或部署错误,这在源代码中是看不出来的。黑盒测试能告诉你漏洞不仅存在,而且能够带来什么实际影响(Impact)

06:30

漏洞利用速度的急剧加快

防御的时间窗口消失

  • 视觉参考:图表”TTE(Time-to-Exploit:漏洞利用时间)“。展示从2018年到2026年,CVE披露与被确认利用之间的时间差从2.7年急剧下降到了负数(-2.6天)。

  • 术语解释

  • CVE(Common Vulnerabilities and Exposures / 常见漏洞与披露):一个向全球公开已知网络安全漏洞的标准化列表。

  • TTE(Time-to-Exploit):从漏洞被公开(CVE发布)到该漏洞在现实世界中被恶意利用之间的时间差。

  • 关键细节:在2018年,企业有2年半的时间来修补公开的漏洞。而今天,TTE变成了负数——这意味着大多数漏洞在被公布之前就已经被黑客广泛利用了

  • 洞见:传统的网络安全股票在AI安全新闻出现时下跌,这毫无逻辑,因为现在比以往任何时候都更需要一切可能的AI防御手段来对抗自主AI攻击。

07:32

行动呼吁与倒计时

应对方案与最后期限

  • 视觉参考 1:占星家诺查丹玛斯(Nostradamus)的画像(带有红色减号,代表单纯的悲观预言),对比织田信长(带有绿色勾号,代表积极武装拥抱技术)。
  • 视觉参考 2:图表”SWE-bench Gap: Open vs Proprietary Models”,展示从2024到2026年开源权重模型与专有大模型的差距迅速缩小。标语:“这是你的最后期限(THIS IS YOUR DEADLINE)”。
  • 三项关键行动
  1. 最大化前沿模型的网络安全能力:不要再纠结这是否”安全”,我们在进行军备竞赛,必须拥有最好的模型。
  2. 动员安全社区:使人类研究员能够将AI作为自身工作的延伸。
  3. 区分优先级:利用像XBOW这样的AI去筛选出真正致命的漏洞(“bugs that bite”)。

  • 术语解释

  • 开源权重模型(Open-weight Models):向公众开放参数权重的AI模型。一旦这些模型赶上专有模型,全球任何人都可以运行顶级的AI黑客系统。

  • 重要引述:“So if you want to have a nice Thanksgiving dinner with your family, you better start fixing now.”(“所以,如果你想和家人享用一顿美好的感恩节晚餐,你最好现在就开始修复系统。”)

  • 洞见:我们只有6到9个月的窗口期。届时,开源模型将变得和当前的顶尖模型一样强大,网络攻击的门槛将彻底消失。

视频高层级摘要

Oege de Moor的演讲揭示了网络安全领域的一个关键转折点:纯自主AI黑客(如XBOW)已经崛起,它们可以在无人类干预的情况下完成复杂的网络攻击,甚至在全球顶级的HackerOne平台上击败人类黑客夺得第一。通过对比1575年日本长篠之战火枪击败骑兵的历史,他警告传统安全防线在AI面前将不堪一击。随着漏洞的”利用时间差”缩短至负数,以及开源大模型性能的迅速追赶,全人类仅剩下6至9个月的窗口期。他呼吁行业停止对AI网络安全能力的犹豫,全面拥抱AI黑客技术作为防御手段,以应对即将到来的安全风暴。

关键要点列表(Top 12 洞察)

  1. 完全自主化:AI黑客系统已不再需要人类辅助,能够独立完成侦察、评估并实施攻击的全流程。
  2. 长篠之战法则:在网络安全中,拥抱最新AI技术的一方将无可避免地击败固守传统防御的人。
  3. 低门槛与高效率:AI工具只需一个简单的URL,就能快速且极低成本地发现连顶尖团队(如微软必应)都能漏掉的致命远程代码执行(RCE)漏洞。
  4. 人类的傲慢:当今安全人员对AI黑客能力的怀疑,正如当年人们坚信机器无法在国际象棋中击败人类大师一样。
  5. 黑箱测试证明实力:XBOW通过黑盒测试在HackerOne上登顶全球第一,证明了其在实战中的有效性。
  6. “合金”模型策略:通过随机组合不同的大模型(如Gemini和Sonnet)执行连续任务,可以产生类似”结对编程”的效果,性能远超单一模型。
  7. 白盒测试的局限:能阅读源码的AI(如Mythos)只能找到理论缺陷,无法证明漏洞在真实环境中是否可被利用。
  8. 配置大于代码:许多致命漏洞源于系统配置或部署错误,而非源代码错误,这凸显了外部黑盒测试的不可替代性。
  9. 防御窗口已死:漏洞从披露到被利用的时间差(TTE)已经变为负数,即漏洞在被公开之前就已遭到攻击。
  10. 放下”安全”顾虑:科技界必须停止对研发具有强大黑客能力AI的伦理犹豫,因为我们已处于一场被动的军备竞赛中。
  11. 人机协作防御:未来的防御需要人类安全专家将AI黑客系统作为自己能力的延伸。
  12. 6-9个月的死线:当开源权重模型的性能在半年多后追平当前的闭源前沿模型时,攻击工具将完全普及,企业必须在此之前完成系统加固。

技术术语词汇表

  • Autonomous Hacking(自主黑客攻击):无需人类指导,由人工智能自动完成从侦察到漏洞利用全过程的黑客行为。
  • RCE (Remote Code Execution / 远程代码执行):一种极为严重的安全漏洞类型,允许攻击者通过网络在目标服务器上运行任意恶意代码。
  • HackerOne:全球知名的漏洞赏金平台,企业在平台上悬赏,由全球道德黑客(白帽)寻找并报告其系统漏洞。
  • Blackbox Testing(黑盒测试):在不了解内部架构或不具备源代码访问权限的情况下,仅从外部界面或网络端点对系统进行的安全测试。
  • Whitebox Testing(白盒测试):测试者拥有系统的完全内部访问权限(如完整的源代码)以分析潜在安全弱点的测试方法。
  • Alloy(合金/模型组合):一种AI系统工程策略,在执行任务的不同步骤中交替使用不同架构的基础大模型(如混合调用Gemini和Sonnet),以互相弥补盲区。
  • CVE (Common Vulnerabilities and Exposures / 常见漏洞与披露):公开披露的网络安全漏洞的标准化标识符(例如 CVE-2026-32191)。
  • TTE (Time-to-Exploit / 漏洞利用时间):指一个漏洞从被公开识别(如发布CVE)到其在真实环境中被实际用来攻击之间所经过的时间。
  • Endpoint(端点):在网络通信中,指网络或API的一个入口或连接点,通常是黑客扫描和攻击的目标。
  • Open-weight Models(开源权重模型):其训练后参数(权重)对公众开放的人工智能模型,允许任何人在本地下载并运行。
读书笔记