微软派出 100 个智能体猎捕漏洞——说实话，聊聊 AI 对 AI 的安全

在本周的 Build 大会上，微软展示了一支完全由 AI 组成的安全团队。它的系统——一条由 100 多个专用智能体 组成的流水线——在 Windows 的网络和认证代码里仔细搜寻，找出了 16 个新漏洞， 其中四个是内核 TCP/IP 协议栈里的严重远程代码执行（RCE）漏洞。一个姊妹项目 Ire， 则成了 第一个能把 malware 定罪（自动判定）的证据做得足够扎实、从而自动拦截它的 AI。 防守方现在跑着自主 AI。

攻击方也一样。今年春天，“AI 对 AI 的安全”不再只是一句口号，我们值得诚实地说清楚 它到底意味着什么。

现在双方都是真的

对称才是重点。在防守端：除了上面微软的猎漏者，还有 Google 的 Big Sleep 智能体， 它 在任何人利用之前就抓到了 SQLite 里一个活跃的零日漏洞 ——这是真正的第一次——以及 Anthropic 的 Mythos，它在一千个开源项目中找出了超过 6000 个严重漏洞。

在攻击端：一个 AI 智能体已经 独立完成了一次真实入侵的 80–90%， 勒索软件从破门而入到窃取数据已经被压缩到 25 分钟，而自主智能体如今占到 八分之一的已报告 AI 入侵事件。同样的能力，两个方向，都以机器的速度运转。

真正取胜的防御到底是什么

这是我觉得最有用的部分，而它并不是头条。掀开微软系统的引擎盖，里面并不是一个 天才模型。它是 100 多个专用智能体，配上一个模型面板 ——重型推理模型负责困难的判断，更便宜的模型负责大批量扫描，在速度和成本之间做 权衡。这正是我一直在写的那种架构——把许多专精的智能体编排起来、 用便宜模型干 90% 的活——只不过被用来找漏洞。 登顶安全基准的东西不是什么神奇模型，而是把一个智能体群做好的工程。

诚实的判断：它抬高的是天花板，不是地板

防御端的 AI 找出新漏洞的速度，比任何人类团队都快。但它做不到的，是给旧漏洞 打补丁、轮换泄露的密码、或者打开 MFA。而大多数入侵恰恰还是发生在这些地方—— 2026 年那些上头条的事件，栽在弱凭据和缺失的基础防护上，而不是什么花哨的漏洞利用， 这正是上周说过的点。所以 AI 对 AI 是 这场战斗新的顶层，而下面那层枯燥的安全卫生（基础防护）依然决定着大多数局的胜负。

还有我写过的那种不对称：最好的防御型 AI——微软的、Anthropic 的——都活在大厂内部 和设了门槛的项目里，而攻击能力却向任何有 API key 的人扩散。所以“AI 现在在保护我们”这句话，如果你在控制平面里面，那完全是真的； 如果你是一家小公司，那还只是个愿景。这台跑步机对每个人并不是同样平的。

该从中带走什么

不要把“AI 现在会猎捕漏洞”理解成一面已经送到手的盾牌。要把它理解成这场战斗节奏 的改变：双方同时变快了，于是相对差距几乎没动，而现在想要不落下风，你这边也得有 AI。由此引出三件实事：

• **用上你真正能拿到的 AI 防御。**它当中很大一部分正在进入你已经在付费的工具里 ——Defender、GitHub Code Security——而不只是那些设了门槛的研究项目。把它打开。
• **假设你的攻击者已经有一个自主 AI。**按照一个以机器速度移动的对手来做设计，因为 他们当中有些人已经是了。
• **继续做那些枯燥的安全卫生。**智能体群对智能体群的猎漏是这场较量新的顶层，而不是 对底层的替代——大多数入侵依然住在底层。

这是最好、也最让人疲惫的那种进步。防守方终于拿到了一件和攻击者一样快的工具——而 Big Sleep 在一个活跃零日漏洞引爆之前就抓住它，是一次真正的化险为夷，不是演示。但 所有这些速度，在宏观层面买到的，只是一场更高海拔上更快到来的僵局。AI 猎捕漏洞确实 是好事。它是军备竞赛之下的一层新地板，而不是竞赛的终点。这场较量没有变得更容易， 它变快了——对每一个人、在双方、同时发生。